Recap da ameaça: Darkside, Crysis, Negasteal, Coinminer

10 set 2020

Insights e análises de Miguel Ang, Raphael Centeno, Don Ovid Ladores, Nikko Tamaña e Llallum Victoria

Nas últimas semanas, observamos desenvolvimentos notáveis para diferentes tipos de ameaças. Para ransomware, uma nova família chamada Darkside surgiu, enquanto os operadores por trás do Crysis/Dharma lançaram um kit de ferramentas de hacking. Para ameaças de mensagens, uma campanha de e-mail direcionada foi usada para propagar Negasteal/Agent Tesla. Por fim, para ameaças fileless, um coinminer foi visto junto com aplicações legítimas.

Continue a leitura e saiba mais sobre essas descobertas.

Surgimento do Ransomware Darkside

Uma nova família de ransomware chamada Darkside (detectada pela Trend Micro como Ransom.Win32.DARKSIDE.YXAH-THA) surgiu. Os operadores por trás desse ransomware ameaçam publicar os dados das vítimas que não os pagam, uma tática semelhante empregada por operadores de famílias de ransomware, como Maze e Nefilim. A extensão do arquivo usada para anexar os nomes dos arquivos criptografados é baseada no endereço MAC da vítima.

De acordo com a página do Tor do ransomware, os agentes de ameaça por trás dele verificam a capacidade financeira da empresa-alvo em potencial. A partir daí, eles determinam o valor do resgate que suas vítimas pagarão. Também foi indicado que os operadores não atacarão organizações nos setores médico, educacional, as sem fins lucrativos e governamentais.

Figura 1. Uma nota de resgate do Darkside

Operadores do Crysis lançaram um kit de ferramentas de hacking

O ransomware Crysis/Dharma (detectado pela Trend Micro como Ransom.Win32.CRYSIS.TIBGGS) lançou um kit de ferramentas de hacking chamado Toolbox, segundo a Sophos. O Toolbox contém Mimikatz para coletar senhas, NirSoft Remote Desktop PassView para roubar senhas de protocolo de área de trabalho remota (RDP), Hash Suite Tools Free para descarregar hashes e outras ferramentas para ajudar a encontrar computadores que são alvos e implantar o payload do ransomware. Com este kit, até hackers novatos podem se infiltrar em redes facilmente.

O Crysis opera sob um modelo de ransomware-as-a-service (RaaS), e essa ferramenta de hacking torna mais fácil para os afiliados espalharem o ransomware a mais alvos.

Negasteal/Agent Tesla entregues por e-mails direcionados a titulares de contas bancárias

Recentemente, encontramos e-mails que distribuem o Negasteal/Agent Tesla (detectado pela Trend Micro como TrojanSpy.MSIL.NEGASTEAL.DYSGXT) por meio de anexos maliciosos. O esquema tem como alvo os titulares de contas do Krung Thai Bank. O e-mail informa o destinatário sobre uma suposta “transação de remessa para o exterior” no valor de quase US$ 9.000. Isso solicita que os usuários baixem o anexo que contém um documento que explora a CVE-2017-11882 (também conhecida como Vulnerabilidade de Corrupção de Memória do Microsoft Office), um problema de corrupção de memória de 17 anos no Microsoft Office, para baixar e executar o payload de malware.

Descoberto em 2014, o Negasteal é conhecido por enviar informações roubadas por meio de painel da web, FTP ou SMTP. Mais recentemente, nós o vimos ser distribuído por meio de drives removíveis enquanto coleta as credenciais do Becky! Internet Mail.

Figura 2. Exemplo de e-mail com anexo malicioso contendo Negasteal

Aplicações legítimas junto com o Coinminer

Também encontramos aplicações legítimas, como TeamViewer, Rufus e YTD Video Downloader agrupados com um coinminer fileless (detectado pela Trend Micro como Coinminer.Win32.MALXMR.THHADBO). Esses instaladores não vêm de centros de download oficiais ou lojas de aplicativos. Após o download, a aplicação legítima e um script malicioso (arquivo VBS) são colocados no sistema do usuário. O script malicioso então se conecta a um site para baixar o carregador do coinminer, que então será usado para carregá-lo.

Agrupar coinminers e outros tipos de malware com instaladores legítimos de aplicações (como os de videoconferência) não é uma estratégia nova; entretanto, os usuários que ainda não estão muito familiarizados com esse fato podem não intencionalmente fazer download de fontes suspeitas e, assim, comprometer seus sistemas.

Figura 3. Coinminer fornecido com o instalador TeamViewer

Figura 4. Arquivo VBS ocultado

Defesa contra uma variedade de ameaças

A natureza acelerada do cenário da cibersegurança significa que as ameaças surgem a cada passo, criando uma corrida sem fim entre os agentes da ameaça e os pesquisadores de segurança. As empresas e os usuários individuais devem se manter a par dos desenvolvimentos para que possam executar as ações necessárias a fim de evitar que essas ameaças comprometam seus sistemas. Como diz o ditado popular, “conhecimento já é metade da batalha”.

Para enfrentar uma grande variedade de ameaças, empresas e usuários são aconselhados a desenvolver boas práticas de segurança com a ajuda do seguinte:

Baixe aplicações apenas de centros de download ou app stores oficiais.
Nunca clique em links e baixe anexos de e-mails ou qualquer outra mensagem que venha de fontes não confiáveis.
Atualize software e aplicações regularmente para garantir que as vulnerabilidades mais recentes sejam corrigidas.
Equipe sistemas com soluções de segurança que podem bloquear e defender contra ameaças.

As soluções a seguir podem ajudar na proteção contra uma variedade de ameaças:

Trend Micro Apex One™ e Apex One Endpoint Sensor – Emprega análise comportamental que protege contra scripts maliciosos, injeção, ransomware e ataques de memória e navegador relacionados a ameaças fileless.
Trend Micro XDR – conecta e-mail, endpoints, servidores, workloads em nuvem e redes para detectar e responder a ameaças com antecedência.
Trend Micro™ Email Security – Usa machine learning aprimorado e análise de sandbox dinâmica para arquivo e URL para impedir ameaças por e-mail.

No geral, uma abordagem de segurança em várias camadas é recomendada para proteger todos os pontos de entrada de ameaça possíveis.