A Netskope alerta para dois exemplos recentes que tiveram como alvo o Brasil e a Coreia, nas quais duas operações distintas forneceram provas de como os serviços legítimos da Internet podem ser facilmente adaptados para executar várias funções e com diferentes finalidades no decorrer de uma operação maliciosa.
Pesquisadores do HarfangLab no Brasil descobriram em maio uma campanha maliciosa que fornecia uma carga útil chamada “AllaSenha”, mais uma variante de um velho conhecido dos usuários da América Latina: AllaKore, uma ferramenta de acesso remoto de código aberto. Essa variante, caracterizada por uma cadeia de infecção envolvendo scripts Python e um loader desenvolvido pela Delphi, tem como objetivo específico roubar credenciais de contas bancárias brasileiras e utilizar o Azure como sua infraestrutura de comando e controle (C2).
A exploração de serviços em nuvem é uma arma flexível nas mãos dos invasores, de tal forma que descobrimos diariamente novas campanhas que abusam de aplicações legítimas. Independentemente de os agentes de ameaças serem motivados por crimes ou espionagem cibernética, eles continuam a visar diferentes públicos em diferentes regiões geográficas do mundo, explorando vários serviços em diversas fases da cadeia de ataque, principalmente entrega e distribuição de malware, mas também comando e controle, juntamente com as campanhas emergentes de spear-phishing personalizadas para mirar contas em nuvem.
Como reduzir estes riscos?
O Azure, o Google Drive e o GitHub estão entre os milhares de serviços em nuvem que exigem controle de acesso adaptável, proteção contra ameaças e prevenção contra perda de dados com granularidade de alto nível. Portanto, nos casos em que esses serviços ou aplicações não são necessários para a empresa, mas são explorados por invasores externos, é possível configurar uma política para impedir atividades potencialmente perigosas (como “Upload” e “Download”) do serviço específico ou de toda a categoria à qual ele pertence.
É fundamental também utilizar ferramentas que examinem o tráfego da Web e da nuvem para detectar ameaças conhecidas e desconhecidas com um conjunto abrangente de mecanismos, incluindo antivírus baseado em assinaturas, detectores de machine learning para executáveis e documentos do Office e sandboxing. Os recursos de proteção contra ameaças podem ser aprimorados com integrações com ferramentas de terceiros, como feeds de inteligência contra ameaças, proteção de endpoints e tecnologias de proteção de e-mail.
Por fim, painéis específicos para avaliar o risco de exploração de instâncias em nuvem para fornecer malware ou o risco de se tornarem alvo de comunicações anômalas, com detalhes e percepções detalhadas que possam servir como suporte às equipes de segurança no processo de análise e mitigação/remediação.
