Colin Thierry
Publicado em: 23 de novembro de 2022
A Microsoft revelou na semana passada que um grupo de ameaças identificado como DEV-0569 estava por trás de uma nova onda de Royal ransomware e outros malwares implantados por meio de links de phishing, sites de aparência legítima e Google Ads.
Ignorar as soluções de segurança é um aspecto em que os agentes de ameaças às vezes enfrentam desafios. Uma maneira de contornar essas soluções é enganar os usuários para deixá-los entrar clicando em links maliciosos ou baixando software prejudicial.
DEV-0569 usa essas duas técnicas contra os usuários que visam. O grupo de ameaças cria sites de phishing, usa formulários de contato em organizações visadas, hospeda instaladores em sites de download que parecem legítimos e implanta anúncios do Google.
“A atividade DEV-0569 usa binários assinados e entrega cargas de malware criptografadas”, explicado Microsoft em sua declaração na semana passada. O grupo também é conhecido por utilizar fortemente técnicas de evasão de defesa e continuou usando a ferramenta de código aberto Nsudo para tentar desabilitar soluções antivírus recentemente em campanhas.
“O DEV-0569 depende notavelmente de malvertising, links de phishing que apontam para um downloader de malware que se apresenta como instalador de software ou atualizações incorporadas em e-mails de spam, páginas de fórum falsas e comentários de blog”, acrescentou a gigante da tecnologia.
Um dos principais objetivos do DEV-0569 é obter acesso a dispositivos em redes seguras, o que permitiria a implantação do ransomware Royal. Como resultado, o grupo pode se tornar um corretor de acesso para outros operadores de ransomware, vendendo o acesso que eles têm para outros hackers.
Além disso, o grupo está usando o Google Ads para expandir seu alcance e se misturar com o tráfego legítimo da Internet.
“Pesquisadores da Microsoft identificaram uma campanha de malvertising DEV-0569 alavancando o Google Ads que aponta para o sistema legítimo de distribuição de tráfego (TDS) Keitaro, que fornece recursos para personalizar campanhas publicitárias por meio do rastreamento de tráfego de anúncios e filtragem baseada em usuário ou dispositivo”, disse a empresa. . “A Microsoft observou que o TDS redireciona o usuário para um site de download legítimo ou, sob certas condições, para o site de download malicioso do BATLOADER.”
Essa estratégia permite que os agentes de ameaças ignorem os intervalos de IP de soluções conhecidas de sandboxing de segurança, enviando malware para alvos e IPs específicos.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- Detetives de Segurança
- VPN
- a segurança do website
- zefirnet