Resumo de Malware: Phishing astuto, BYOVD e RATs Android

As notícias sobre malware continuam a chegar. Hoje, iremos olhar brevemente para um ataque que utiliza as plataformas Meta para entregar malware RAT a sistemas Android; uma técnica de ataque chamada bring-your-own-vulnerable driver que está a visar utilizadores de Windows; e uma técnica avançada e multietapa de phishing utilizada por um conhecido grupo de ameaças baseado na Rússia.

Malvertising no Meta tem como alvo sistemas Android

Tipo: RAT, spyware

Malware: Brokewell

Propagação: Publicidade Maliciosa

Vários vetores: Meta ambientes

Alvo: sistemas Android

Ativo desde: julho 2024

Atores de ameaça são relatados por estarem a usar malvertising nas plataformas Meta para espalhar software falso. Os anúncios prometem uma aplicação gratuita do TradingView Premium, mas em vez disso, a vítima instala uma versão do spyware e Trojan de acesso remoto (RAT) Brokewell.

Conforme detalhado neste artigo da BleepingComputer, a Brokewell utiliza uma variedade de meios para fornecer uma porta dos fundos de acesso remoto enquanto grava atividades e procura e rouba dados sensíveis, concentrando-se particularmente em dados financeiros e de criptomoedas.

Traga seu próprio driver vulnerável (BYOVD)

Tipo: RAT

Malware: ValleyRAT

Propagação: Drivers WatchDog Antimalware vulneráveis assinados pela Microsoft

Grupo de ameaça: Silver Fox

Alvo: Microsoft Windows 7 até 11

Conforme relatado na SC Media, o grupo de cibercriminosos que se autodenomina Silver Fox tem usado uma técnica de ataque BYOVD para infectar sistemas Windows com o malware Trojan de acesso remoto ValleyRAT.

BYOVD envolve carregar deliberadamente um driver que tem uma vulnerabilidade conhecida, neste caso, um driver Microsoft-assinado WatchDog Antimalware (ou um driver Zemana para máquinas Windows 7). Esses drivers não estavam listados na Vulnerable Driver Blocklist da Microsoft.

Como os controladores são instalados com acesso de nível 0 aos recursos, os atacantes podem então instalar o Trojan de acesso remoto ValleyRAT sem serem detectados, dando a si mesmos acesso e controlo sobre o sistema infectado.

Para uma análise técnica completa, consulte este artigo em The Hacker News.

BlackBasta utiliza phishing avançado para disseminar malware

Tipo: Vários

Malware: Zbot, DarkGate, malware personalizado

Propagação: Técnicas inovadoras de phishing

No final do ano passado, o grupo de ameaças Black Basta foi observado a usar uma técnica de phishing inovadora para atrair vítimas a instalar malware nos seus sistemas.

Primeiro, os alvos são bombardeados por e-mail, criando a impressão de que está em curso algum tipo de ciberataque. Em seguida, os atacantes contactam o alvo através do Microsoft Teams, afirmando ser membros do serviço de assistência informática da empresa alvo.

Uma vez que o alvo aceita o chat, é enganado para carregar uma variedade de ameaças de malware. Tipicamente, um coletor de credenciais primeiro raspas as credenciais do utilizador, e depois o malware pode ser utilizado para instalar um carregador como Zbot, Zloader ou DarkGate.