O site de contratação de veteranos falsos dos EUA espalha o trojan de acesso remoto (RAT).
Por Catalin Cimpanu
Os hackers apoiados pelo governo do Irã estão tentando infectar veteranos militares dos EUA com malware com a ajuda de um site malicioso, informaram pesquisadores da empresa de segurança Cisco Talos na terça-feira.
O site, localizado em hiremilitaryheroes [.] Com (foto acima), oferece um aplicativo de desktop falso para download, na esperança de que veteranos militares dos EUA baixem e instalem, provavelmente para obter acesso a ofertas de emprego.
Mas os pesquisadores do Cisco Talos dizem que o aplicativo instala apenas malware nos sistemas dos usuários e mostra uma mensagem de erro, indicando que a instalação falhou.
O MALWARE É UM COMBO INFOSTEALER + RAT
Nos bastidores, o malware continua a operar nos computadores das vítimas, coletando informações sobre as especificações técnicas do sistema e enviando os dados para uma caixa de entrada do Gmail controlada por invasores.
O tipo de dados que o malware coleta inclui informações sobre o sistema, o nível do patch, o número de processadores, a configuração de rede, o hardware, as versões de firmware, o controlador de domínio, o nome do administrador, a lista de contas, a data, a hora, drivers, etc.
“Essa é uma quantidade significativa de informações relacionadas a uma máquina e deixa o invasor preparado para realizar ataques adicionais”, disseram Warren Mercer, Paul Rascagneres e Jungsoo An, os três pesquisadores do Cisco Talos que analisaram o malware.
Além de um componente de coleta de dados, o malware também instala um RAT (trojan de acesso remoto), um tipo de malware que pode conceder aos invasores acesso através de um sistema infectado.
De acordo com o relatório Cisco Talos , o componente RAT pode executar arquivos baixados da Internet, executar comandos do shell e remover-se do computador de um host, se necessário.
OS HACKERS PROVAVELMENTE TÊM COMO ALVO MILITARES ATIVOS, NÃO VETERANOS
À luz disso, o modus operandi geral dos hackers parece ser o uso de um site falso de contratação de veteranos militares para infectar vítimas e, em seguida, selecionar qual alvo eles querem perseguir e baixar cargas úteis adicionais.
Em uma entrevista sobre o fundo do ZDNet – porque ele não estava autorizado a falar no registro da agência – um analista de segurança cibernética do DHS disse que os atacantes estão claramente atrás de redes militares.
“Os hackers não estão mirando veteranos, mas sim futuros veteranos”, disse ele. “Eles estão mirando militares ativos procurando emprego quando o serviço termina.
“Eles [os hackers] esperam que um de seus alvos use um sistema DOD para baixar e executar o malware”, acrescentou. “As chances são baixas, mas vale a pena tentar.
“Abordagem bastante inteligente, se posso dizer.”
OPERAÇÃO VINCULADA AO GRUPO TORTOISESHELL
O Cisco Talos disse que não tinha detalhes sobre os métodos que os hackers estavam usando para espalhar links para este site e induzir as vítimas a instalar o malware. Também pode ser que os pesquisadores tenham acessado este site antes de ser spam ativamente para os veteranos.
A equipe do Talos também vinculou essa campanha ao trabalho de um grupo de hackers recentemente descoberto, patrocinado pelo Estado, chamado Tortoiseshell, que acredita-se estar operando sob a proteção do governo iraniano.
Pouco se sabe sobre esse grupo, cujas operações só surgiram recentemente, após a publicação de um relatório da Symantec na semana passada.
Segundo a Symantec, o grupo já havia sido anteriormente envolvido em ataques da cadeia de suprimentos a 11 fornecedores de TI baseados na Arábia Saudita. Acredita-se que o objetivo desses ataques fosse usar as infraestruturas dessas 11 empresas para lançar malware nas redes de seus respectivos clientes.
Mais detalhes sobre as operações deste grupo provavelmente serão divulgados nos próximos meses. O colega fornecedor de cibersegurança CrowdStrike rastreia esse grupo com um nome diferente de Imperial Kitten, de acordo com esta planilha que agrega dados de todas as operações de hackers no estado nacional . Por outro lado, a empresa de cibersegurança FireEye acredita que esse grupo não é realmente novo, mas uma subdivisão do antigo APT35 .
Em fevereiro de 2019, oficiais dos EUA acusaram formalmente um ex-agente de inteligência da Força Aérea dos EUA por traição depois que ela fugiu para o Irã em 2013 e depois trabalhou para ajudar as equipes de hackers do governo do Irã a atacar e invadir ex-colegas da Força Aérea .
Fonte: ZDNET
Security Information News 