Atualmente, os golpes digitais têm se tornado cada vez mais frequentes, deixando um impacto significativo na sociedade devido à sua capacidade de explorar vulnerabilidades e falhas na segurança digital. Essas atividades maliciosas ocorrem por meio da internet e dispositivos eletrônicos, aproveitando-se da conectividade global e da confiança das pessoas nas transações online. Infelizmente, muitos indivíduos acabam caindo nesses crimes cibernéticos, ficando reféns das ações maliciosas realizadas por esses golpistas.

Esse tipo de crime se tornou uma realidade preocupante que arruína indivíduos e organizações em todo o mundo. Por trás desses crimes cibernéticos, golpistas habilidosos empregam uma ampla gama de técnicas ardilosas, tentando enganar e prejudicar seus alvos de maneiras cada vez mais sofisticadas, entre elas estão phishing, malware ou explorar as vulnerabilidades de softwares.

Tipos de golpes digitais

• Phishing: Uma tática amplamente utilizada por criminosos no mundo digital que tem se mostrado uma ameaça cada vez mais preocupante. Por meio do envio de comunicações falsas, como e-mails ou mensagens instantâneas, os golpistas se passam por organizações ou pessoas confiáveis, com o intuito de enganar suas vítimas e obter informações confidenciais, como senhas, números de cartão de crédito e detalhes de contas bancárias. Especialistas em segurança têm constatado um aumento significativo de 76% nas perdas financeiras decorrentes de ataques de phishing em 2022. Esses ataques estão se tornando cada vez mais sofisticados, explorando a falta de conhecimento dos usuários.

• Malware: Se destaca como uma ferramenta maliciosa amplamente empregada por criminosos cibernéticos. Sob diversas formas, como vírus, worms e trojans, ele se propaga por meio de downloads infectados, anexos de e-mail ou sites comprometidos. Seu principal objetivo é invadir sistemas, criptografar dados e roubar informações confidenciais.

• Ransomware: Criminosos habilidosos infectam sistemas de computadores com malware que criptografa arquivos valiosos ou bloqueia o acesso ao sistema operacional. Em seguida, exigem um pagamento em criptomoedas como resgate para liberar os dados ou restaurar o acesso afetado. De acordo com a empresa de segurança cibernética Dragos, os ataques de ransomware contra organizações industriais aumentaram impressionantes 87% em 2022, em comparação com o ano anterior. Esses números alarmantes revelam a magnitude do problema e a necessidade urgente de medidas de segurança robustas

Cenários em que podem aparecer

Em um mundo cada vez mais conectado, os golpes digitais têm se multiplicado de forma assustadora, infiltrando-se em diferentes cenários da vida. Desde caixas eletrônicos a plataformas de comércio eletrônico e sistemas de pagamento online, como o PIX, os criminosos habilidosos encontram maneiras de explorar vulnerabilidades e realizar atividades fraudulentas, colocando em perigo a segurança financeira e a identidade dos usuários desavisados com atividades como clonagem de cartões, compras não autorizadas e roubo de identidade.

Fraudes

As fraudes no comércio eletrônico têm se tornado um tema de grande destaque e preocupação nos dias atuais. Golpistas habilidosos utilizam uma variedade de métodos, incluindo cartões de crédito clonados e contas falsas, para realizar compras fraudulentas e obter acesso indevido a informações pessoais de clientes. No Brasil, as tentativas de fraude no comércio eletrônico atingiram a alarmante marca de R$5,8 bilhões em apenas um ano, embora tenha havido uma leve diminuição para 5,6 milhões de casos, de acordo com um estudo realizado pela ClearSale. Esses números revelam um cenário desafiador na luta contra as fraudes, apesar de uma pequena queda no número de tentativas.

Investimentos onlines

Nos dias de hoje, uma preocupação crescente vem aterrorizando aqueles que buscam oportunidades de investimentos online. Esquemas fraudulentos que prometem retornos financeiros rápidos e excepcionais estão se multiplicando, visando enganar pessoas sem experiência financeira e, assim, tomar suas economias. Ofertas tentadoras de investimentos em criptomoedas, Forex (o mercado global de negociação de moedas internacionais), opções binárias e outros ativos. De acordo com a pesquisa de Fraudes Financeiras da Serasa, 40% dos brasileiros já foram vítimas de golpes financeiros, com destaque para fraudes com cartões de crédito e débito.

Violação de dados

Uma violação de dados é considerada como um evento em que informações sensíveis, como nome, registro médico, registro financeiro ou dados de cartões de débito de indivíduos, são colocadas em risco. Essas informações podem estar em formato eletrônico ou impresso, e as violações estudadas englobaram um número alarmante de 2.200 a 102.000 registros comprometidos.

No ano de 2022, a IBM Security® divulgou um relatório abrangente sobre o custo das violações de dados em nível global, resultado de uma pesquisa realizada pelo renomado Ponemon Institute. O estudo abarcou dados de 17 países, analisando não apenas os prejuízos financeiros, mas também as causas das violações e suas consequências tanto no curto quanto no longo prazo. Com mais de 550 empresas impactadas de alguma forma por violações.[

Principais Insights: Os principais insights revelados pelo relatório fornecem uma visão abrangente do panorama da segurança cibernética e das estratégias adotadas pelas organizações para minimizar os impactos de violações de dados.

• 83% - empresas pesquisadas tiveram mais de uma violação de dados.
• 79% - empresas de infraestrutura crítica não implementaram uma arquitetura zero trust.
• 19% - violações ocorreram devido a um comprometimento em um parceiro de negócios.
• 45% - violações eram baseadas na nuvem.

Tecnologias de Destaque

O relatório não apenas aborda os desafios enfrentados pelas empresas, mas também identifica as tecnologias utilizadas para combater as ameaças cibernéticas:

• Detecção e Resposta Estendidas (XDR): A XDR emerge como uma ferramenta essencial, permitindo que as organizações detectem e respondam a ameaças de forma mais eficaz.
• Técnicas de Quantificação de Riscos: A aplicação de técnicas avançadas de quantificação de riscos auxilia na compreensão e avaliação dos impactos financeiros decorrentes das violações.
• Fortalecendo o Framework de Segurança Zero Trust: Certas tecnologias, como o Gerenciamento de Identidade e Acesso (IAM) e a Autenticação Multifator (MFA), desempenham um papel fundamental na construção de um robusto framework de segurança zero trust.

O relatório aponta que, em 2022, as credenciais roubadas ou comprometidas foram o vetor de ataque inicial mais comumente utilizado pelos invasores.

Vulnerabilidades

No relatório anual da IBM Security® identificou que as principais causas de violações de dados em 2022 foram:

• Credenciais comprometidas (19%)
• Phishing (16%)
• Configuração incorreta da nuvem (15%)
• Vulnerabilidade em software de terceiros (13%)

A pesquisa realizada em anos anteriores apontou que a utilização de equipes especializadas em resposta a incidentes (IR) e a realização de testes em planos de IR tiveram um efeito significativo na redução do custo médio de violações de dados. Na análise deste ano, foi observado novamente como as equipes, recursos e processos de IR continuam impactando o custo associado a violações de dados.

Como se proteger desses ataques

Para mitigar os riscos de golpes digitais, é fundamental adotar medidas de segurança adequadas. Isso inclui:

• Manter o software atualizado: Atualizações regulares garantem que as vulnerabilidades conhecidas sejam corrigidas, reduzindo as chances de exploração por parte dos golpistas.

• Utilizar soluções de segurança confiáveis: A instalação e configuração de programas antivírus, firewalls ajudam a detectar e bloquear ameaças cibernéticas.

• Utilizar senhas criativas: Criar senhas fortes, compostas por uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais, dificulta a sua descoberta por golpistas. Lembrando que é sempre importante evitar o uso de senhas óbvias, como datas de aniversário ou sequências numéricas simples.

• Utilizar autenticação de dois fatores: Habilitar essa função adiciona uma camada adicional de segurança ao exigir um segundo método de verificação além da senha, como um código temporário enviado por mensagem de texto ou e-mail.

• Entrar em contato direto com as organizações: Ao receber uma solicitação ou comunicação suspeita, é essencial entrar em contato diretamente com a organização ou serviço por meio de canais oficiais, como números de telefone ou endereços de e-mail verificados.

Bancos Digitais

Existem muitos bancos confiáveis, como a Cronos Bank, que estão preparados para evitar golpes digitais. A Cronos Bank utiliza a infraestrutura tecnológica da Cronos Fintech e oferece uma conta digital com sua marca. O aplicativo e o internet banking da Cronos Fintech transformam empresas em bancos digitais, abrindo possibilidades de novas linhas de receita e fidelizando a cadeia produtiva e os clientes. Essas instituições estão comprometidas em fornecer segurança e proteção, alcançando um maior número de pessoas de forma confiável.

A plataforma Cronos Bank foi contatada pela StarOne para confirmar informações sobre suas práticas de segurança. Talita, representante da empresa, destacou que eles seguem o modelo de segurança zero trust, adotando medidas como proteção de dados sensíveis em ambientes de nuvem com políticas e criptografia, além de realizar testes de resposta a incidentes e utilizar ferramentas de proteção remota. Tudo isso é feito com o objetivo primordial de garantir a confidencialidade, integridade e disponibilidade dos serviços oferecidos aos clientes.

Talita também ressaltou que a Cronos Bank é uma plataforma de Banking as a Service, que busca transmitir segurança e credibilidade, enquanto proporciona modernidade e opções para uma parcela significativa da população que ainda não possui conta bancária. Eles se esforçam para tornar os serviços simples, rápidos, seguros e eficazes, buscando facilitar o dia a dia daqueles que mais precisam.

Conclusão

No mundo cada vez mais conectado em que vivemos, os golpes digitais representam uma ameaça significativa para a segurança dos usuários. A proteção contra esses ataques danosos requer consciência das práticas maliciosas e a adoção de medidas de segurança apropriadas. Através da educação contínua sobre os diversos tipos de golpes e da implementação de boas práticas de segurança cibernética, é possível fortalecer a defesa contra essas ameaças em constante evolução.

Operação Geometrix do Brasil

Uma equipe de pesquisadores da renomada empresa de cibersegurança, Perception Point, lançou luz sobre as atividades obscuras do misterioso grupo brasileiro de ameaças cibernéticas conhecido como “GeoMetrix”.

Desafios Cibernéticos no Brasil

O universo das ameaças cibernéticas permanece em alerta à medida que o grupo brasileiro “GeoMetrix” continua a espalhar suas teias digitais, explorando técnicas cada vez mais sofisticadas para atingir suas vítimas. Especialistas em cibersegurança da Perception Point têm acompanhado de perto os recentes ataques realizados por essa misteriosa organização ao longo das últimas semanas, revelando uma crescente preocupação com suas ações e motivações.

O foco central tem sido a realização de campanhas de phishing, um tipo de golpe virtual que busca enganar os usuários, levando-os a fornecer informações pessoais e financeiras sensíveis. O alvo principal dessa organização são indivíduos situados no Brasil e na Espanha, países que têm sido palco frequente de suas investidas cibernéticas.

O que mais preocupa os especialistas é a suspeita de que o “GeoMetrix” esteja lucrando com suas atividades ilícitas. Há indícios de que o grupo esteja vendendo suas ferramentas de phishing a outros criminosos, ampliando o alcance de seus ataques e contribuindo para um cenário de ameaças digitais ainda mais preocupante.

Visão geral das campanhas de phishing

Durante o mês de julho de 2023, os pesquisadores do Perception Point identificaram um aumento significativo nas campanhas de e-mail de phishing desenvolvidas em língua portuguesa e espanhola. Esses e-mails foram meticulosamente elaborados para se passarem por instituições bancárias legítimas da Espanha e do Brasil. O propósito final dessas mensagens é enganar usuários desprevenidos para que cliquem em um link incorporado presente no conteúdo do e-mail.

Após o usuário clicar nesse URL inserido de forma sutil, o mesmo é redirecionado para o site do painel de controle da ameaça cibernética. Neste ponto, o site realiza uma varredura de geolocalização para identificar a localização do usuário. Caso essa localização esteja dentro do alvo geográfico definido pelo agente da ameaça, informações críticas do usuário, como endereço IP, localização física e endereço de e-mail, são registradas no “painel de cliques” do invasor.

Posteriormente, o usuário é redirecionado para um URL malicioso que esconde uma das seguintes cargas úteis:

1. Um downloader utilizado para obter e instalar malware bancário, como Mekotio, Grandoreiro ou Ousaban.
2. Um site de phishing que imita um banco da América Latina, com o intuito de enganar e roubar informações financeiras dos usuários.
3. Um site fraudulento de phishing da Trust Wallet.

O diagrama ilustrando o fluxo de execução da campanha:

Visão geral do painel e verificação de cerca geográfica

Durante uma análise detalhada dos pesquisadores da Perception Point, foi detectada a presença de dez painéis de cliques em atividade, todos apresentando uma estrutura comum:

1. Página de login apresentada em português
2. Painel de controle abrangendo os seguintes campos:

• Data do clique
• Endereço de IP
• País
• Região
• Cidade
• Tipo de dispositivo
• Hospedar
• E-mail
• Status

3. Botões de reinicialização

O mecanismo de geofencing opera por meio de três verificações essenciais:

1. Verificação do agente do usuário: O servidor obtém os dados do agente do usuário e realiza uma referência cruzada com uma lista de bloqueios, conforme detalhado no Apêndice 1.

2. Verificação do nome do host: Após a aprovação da verificação do agente do usuário, o servidor recupera os dados do host do usuário utilizando a função PHP “gethostbyaddr”. Esses dados do host também são comparados com uma lista de bloqueios, conforme mencionado no Apêndice 2.

3. Verificação de geolocalização: Como última etapa, supondo que a verificação do host tenha sido aprovada com êxito, o servidor envia o endereço IP do usuário para um serviço de API de geolocalização IP. O campo “país” recuperado desse serviço é comparado com uma lista de permissões.

Caso o usuário passe com sucesso por todas as três verificações, suas informações serão registradas no painel de cliques e ele será redirecionado para a URL maliciosa. Entretanto, se alguma das verificações falhar, o usuário será redirecionado para um mecanismo de busca inofensivo, como o Bing.

Impacto das Campanhas

Em um desdobramento preocupante, uma investigação minuciosa resultou na identificação de dez painéis de cliques distintos, revelando a extensão assustadora de vítimas infectadas em ataques cibernéticos. Cada um desses painéis exibia um contador de “cliques de sucesso” (“Liberados”), demonstrando a eficácia do golpe e a escala alarmante das infecções. Ao somar o número de “cliques de sucesso” de todos os painéis, o total de vítimas infectadas ultrapassou a marca impressionante de 15.000.

Campanha Destaque – Banco do Brasil

Durante a investigação da Perception point , uma campanha de phishing alarmante surgiu, a campanha em questão se apresentou como uma tentativa fraudulenta do Banco do Brasil, buscando enganar destinatários com uma estratégia engenhosa e persuasiva.

O e-mail falso, meticulosamente elaborado pelos criminosos, foi projetado para alertar o destinatário sobre a iminente expiração de uma grande quantidade de moedas digitais em posse do Banco do Brasil. A mensagem envolvia o destinatário ao sugerir a utilização imediata dessas moedas, a fim de evitar sua perda no dia seguinte.

Esse e-mail aparentemente inofensivo conduzia as vítimas a um site de phishing habilmente projetado, o qual se assemelhava muito à página de login autêntica do Banco do Brasil.

Na parte esquerda dessa página, os usuários são solicitados a inserir uma chave e uma senha. O fornecimento dessas informações desencadeia uma série de etapas de phishing destinadas a roubar dados bancários pessoais. Contudo, o que talvez seja ainda mais intrigante é o lado direito da página, que exibe algo denominado “BB Code”.

O “BB Code” é um recurso desenvolvido pelo Banco do Brasil com o propósito de tornar as transferências de dinheiro mais simples e seguras. Esse recurso opera escaneando um código QR por meio de qualquer aplicativo bancário e confirmando a transação no dispositivo móvel do usuário, efetuando assim a transferência do dinheiro para o destinatário designado.

Os cibercriminosos responsáveis pela campanha de phishing aproveitaram-se desse recurso, utilizando-o para persuadir as vítimas a transferirem dinheiro diretamente para eles. Ao apresentar o processo como algo fácil e seguro, eles conseguiram encontrar uma maneira persuasiva de roubar dinheiro de vítimas inocentes.

O potencial comercial do GeoMetrix

Considerando a extensa quantidade de evidências coletadas durante toda essa investigação, é plausível supor que a GeoMetrix pode estar envolvida em uma das seguintes formas de lucro:

1. Phishing-as-a-Service (PhaaS): Existe a possibilidade de a GeoMetrix estar oferecendo um serviço em que os clientes pagam por cada clique bem-sucedido, em um modelo semelhante ao Malware-as-a-Service (MaaS), onde os provedores geralmente cobram por infecções. Essa especulação é decorrente da observação de padrões repetitivos que ajudaram a identificar essa potencial ameaça.

2. Vendas de kits de phishing: Outra fonte de receita possível para a GeoMetrix pode ser a comercialização de kits de phishing prontos para uso. Esses kits normalmente contêm os elementos essenciais, como um painel de phishing, domínio e uma lista de alvos de spam.

Insights e Implicações

O GeoMetrix parece transcender o papel de um simples ataque cibernético, sendo altamente provável que ele atue como uma plataforma que possibilita que outras pessoas realizem atividades maliciosas, como phishing e disseminação de malware. Esse cenário ressalta a crescente complexidade do panorama de ameaças cibernéticas e enfatiza a necessidade premente de defesas cibernéticas aprimoradas. À medida que enfrentamos essas ameaças multifacetadas, é essencial atualizar constantemente nosso conhecimento, fortalecer nossas defesas e permanecer vigilantes diante das novas táticas emergentes. A segurança cibernética deve ser uma prioridade contínua para proteger nossos sistemas e dados contra essas ameaças em constante evolução.

A campanha suspeita de ser originada no Brasil tem como objetivo obter acesso ilegal a bancos online, visando principalmente vítimas de língua espanhola e portuguesa, localizadas principalmente em Portugal, México e Peru. Os atores ameaçadores utilizam táticas como LOLBaS (Living Off the Land Binaries and Scripts), e scripts baseados em CMD para suas atividades maliciosas. Eles empregam e-mails de phishing em português e espanhol, além de estratégias de engenharia social para enganar as vítimas. Os e-mails exploram assuntos como infrações de trânsito e impostos, criando um senso de urgência e legitimidade para obter as credenciais bancárias online das vítimas.

Informações resumidas do MITRE ATT&CK®

Armamentação e visão geral técnica

Análise técnica

Contexto

Na América Latina, ameaças com motivação financeira prevalecem, com uso frequente de malware com cargas finais de PE. As técnicas empregadas incluem abuso de scripts VBE, imagens ISO e pacotes MSI. Nesse caso específico, os atores ameaçadores utilizam scripts baseados em CMD, scripts AutoIt e LOLBaS. Essas técnicas permitem que eles evitem a detecção por medidas de segurança tradicionais, explorando ferramentas e comandos internos do Windows. O objetivo é obter acesso não autorizado aos sistemas das vítimas, extrair informações confidenciais e comprometer contas bancárias e sistemas de pagamento. Os principais alvos são Portugal, México e Peru, países com uma alta proporção de falantes de espanhol e português. A escolha desses países é motivada pela ampla adoção de serviços bancários online, tornando-os alvos rentáveis para atividades fraudulentas.

A descoberta inicial de arquivos CMD, utilizando o AutoIt para execução, ocorreu no final de 2021. Isso indica que os atores ameaçadores estavam em fase de testes, nomeando os arquivos como “demo” ou “teste”. A análise do script AutoIt descompilado forneceu informações sobre a linha do tempo dessa campanha de ataque.

Figura 01: Arquivos CMDStealer com taxa de detecção muito baixa no Virus Total

Operação CMDStealer Vetor de ataque

A cadeia de infecção começa com o recebimento de um e-mail de phishing elaborado. Esses e-mails são projetados para chamar a atenção das potenciais vítimas. Um exemplo identificado foi um e-mail com o título “Multa de Trânsito” ou “infração de trânsito” em português. Cada e-mail contém um anexo HTML.

Figura 02: Conteúdo do e-mail de phishing

O conteúdo do e-mail utiliza táticas alarmantes, apresentando supostas evidências de uma violação de tráfego, solicitando que o usuário abra o anexo HTML que contém códigos aparentemente inúteis e dados no formato HEX.

Figura 03: Conteúdo do anexo “multa_de_transito_502323.html”

Após a decodificação do blob de dados em HEX, um endereço URL é revelado. Após a limpeza, o URL se torna hxxps[:]//multa-ansr-pt[.]fun/?hcBViJAi9EZSc3YQwxpEwfmD7xdG0IF34EWGHj6Q, que é resolvido para o endereço IP 162.0.232[.]115. Durante a análise dos arquivos “.HTML”, foram identificados vários URLs codificados em formato HEX, alguns dos quais estão listados a seguir:

• hxxps[:]//factura61[.]click/2/?j5szsmo0bk8tOSQSMS4mmp1XtQrmbNYoCB2GBem8
• hxxps[:]//factura61[.]click/2/?vzlv9CZ1gnLrNIaWBJBhJNWRCt7IVXDDwVzOQhSs
• hxxps[:]//sunat-pe[.]fun/?D80gaUJDUfuLG6lodTSEi7qoqciBWk5xE5w81pJO
• hxxps[:]//factura61[.]click/2/?CTtBmkRN8KPXVTgUn1ArCPGb5WXTXTaT7etdD7TC
• hxxps[:]//factura61[.]click/2/?yqJl8r7henupax3WsUvITb0PuSw5sn7HyZWGMvDv
• hxxps[:]//factura61[.]click/2/?GxkVBvEBTFfSDqaFr8Yjw9kyKH01xRseHoF0DNQc
• hxxps[:]//multa-ansr-pt[.]fun/?UFqQBhFaXulvEfeTbI38FFDKRth1r2DWKOFqUI0Y
• hxxps[:]//multa-ansr-pt[.]fun/?l4mm0DEhDbJPYd5qAQmwst09TDTjjvYjiG7ByCvx

Ao abrir o arquivo anexado “multa_de_transito_502323.html”, o JavaScript embutido é acionado e se conecta ao endereço hxxps[:]//multa-ansr-pt[.]fun/?hcBViJAi9EZSc3YQwxpEwfmD7xdG0IF34EWGHj6Q para baixar a próxima etapa, que é um arquivo compactado (RAR). O arquivo compactado é geralmente nomeado de acordo com um dos esquemas de nomenclatura, e alguns exemplos desses esquemas estão listados abaixo:

• doc-Impuestos_<[0-9]{6}>.rar
• doc-Impostos_<[0-9]{6}>.rar
• Documento_Impostos_<[0-9]{6}>.rar
• Multa_<[0-9]{6}>.rar
• Impuestos-Documento_<[0-9]{6}>.rar

A BlackBerry identificou campanhas georreferenciadas diferenciadas para cada país específico. Pesquisadores de ameaças relataram campanhas semelhantes no passado, direcionadas especificamente ao México.

Armamento

O arquivo mencionado anteriormente contém um único arquivo “.CMD”, geralmente com um dos seguintes nomes (embora haja outros):

• doc-Impuestos.cmd
• doc-Impostos.cmd
• Impuestos-Documento.cmd
• doc_Factura.cmd
• Documento_Impostos.cmd

O “.CMD” é relativamente grande, com um tamanho variando entre 1,34 - 1,37MBs, e consiste em dois blobs de dados codificados em base64, juntamente com instruções de código para sua execução. O script é descrito na gravação do SANS publicada em 06/01/2023.

Figura 04: Instruções de código para execução de bloco de dados base64

O primeiro blob de dados base64 é um script AutoIt compilado, enquanto o segundo é o interpretador AutoIt usado para executar o primeiro arquivo. O objetivo do script AutoIt é realizar a enumeração do host e baixar um arquivo “.VBS” que será executado usando o comando “SHELLEXECUTE”. Em seguida, o script chama a função “_OUTRECOVERY()” para roubar dados do Outlook, como servidor, usuário e senhas das chaves de registro POP3, SMTP e IMAP. O script também chama a função “_CHROMERECOVERY()” e faz o download do arquivo “sqlite3.dll” de “hxxps[:]//www[.]AutoitScript[.]com/autoit3/pkgmgr/sqlite/” para o roubo de senhas do Chrome. Todos os dados são enviados de volta para o servidor C2 do invasor usando o método HTTP POST. O servidor C2 é construído com os dados enumerados da vítima, onde os valores são especificados.

• v1 – Idioma do sistema operacional (por exemplo, 1033 – Inglês EUA)
• v2 – layout de teclado (por exemplo, 1033 – Inglês EUA)
• v3 – versão do sistema operacional (Windows 7,8,10,11 ou desconhecido)
• v4 – é alvo de um administrador ou usuário
• v5 – Arquitetura do sistema operacional (x86 ou x64)

A URL então se torna:

• hxxp[:]//publicpressmagazine[.]com/images/swan/do/it[.]php?b1=1&v1=1033&v2=1033&v3=windows%2010&v4=admin&v5=x86
• hxxp[:]//websylvania[.]com/psj/do/it[.]php?b1=1&v1=3082&v2=1034&v3=windows%207&v4=user&v5=x64

Para obter persistência no sistema infectado, ele conta com o seguinte código:

Figura 05: Persistência no sistema

Dentro dos scripts AutoIt descompilados, que foram utilizados para atingir o México, foi identificado que uma lista de bancos mexicanos estava especificada. Caso encontrados, alguns desses dados eram enviados de volta ao invasor.

Figura 06: Metas financeiras no México

Com base nas URLs dos alvos financeiros no México, o agente de ameaças por trás do CMDStealer está altamente interessado em comprometer contas corporativas/comerciais.

Operação: Infraestrutura de Rede CMDStealer

A infraestrutura de phishing e comando e controle (C2) é hospedada em serviços que possuem vários domínios associados a um único endereço, incluindo serviços de fluxo rápido, dificultando a análise de tráfego do NetFlow e o rastreamento da infraestrutura. Os domínios utilizados têm informações “whois” editadas e dados cadastrais obscuros, o que contribui para ocultar a identidade dos atores ameaçadores. Foram identificados vários hosts que se comunicam com a maioria dos C2 do CMDStealer, mas não foi possível confirmar a propriedade do ator ameaçador devido à falta de comunicações confiáveis. As campanhas têm utilizado consistentemente o mesmo caminho de URL, */do/it.php, desde pelo menos 20/8/2022, o que pode servir como um indicador útil para fins de alerta.

Alvos

O foco principal deste ataque são as vítimas localizadas em Portugal, México e Peru. Além disso, a configuração específica utilizada para atingir as vítimas no México indica que o ator ameaçador está especialmente interessado em contas comerciais online, que geralmente possuem um fluxo de caixa melhor.

Atribuição

Com base na análise de código e linguagem, os pesquisadores estão confiantes de que o autor dessa campanha de ameaça pertence à América Latina, mais especificamente ao Brasil.

Conclusões

Para se defender contra a execução do LOLBaS, é recomendada uma abordagem em camadas. Isso inclui a implementação de soluções robustas de segurança de endpoint, capazes de detectar e bloquear comportamentos suspeitos e execuções não autorizadas do LOLBaS. Além disso, é importante aplicar o princípio do privilégio mínimo, seguindo uma abordagem de confiança zero, garantindo que os usuários tenham apenas as permissões necessárias para suas tarefas, minimizando assim o impacto potencial da execução do LOLBaS. Treinamentos regulares de conscientização em segurança devem ser fornecidos para educar os funcionários sobre os riscos associados à engenharia social. É crucial realizar o monitoramento contínuo e a auditoria dos logs do sistema para detectar e investigar qualquer atividade suspeita relacionada ao LOLBaS.

ANEXO 01: Hashes Referenciais

ANEXO 02: Contramedidas Aplicadas

Regras da YARA

Regras da SURICATA

Afirmar que o ransomware é um desafio significativo para organizações em todo o mundo seria uma subestimação.

O ransomware passou de um tipo comum de malware para se tornar uma forma de extorsão online no mundo do crime cibernético. Os valores dos resgates aumentaram significativamente, com organizações multinacionais sendo exigidas a pagar milhões de dólares para restaurar sua infraestrutura de TI. Isso levou à evolução e profissionalização da indústria de crimes cibernéticos, com um mercado subterrâneo que oferece suporte de produtos e serviços. Assim como a indústria de tecnologia, o ecossistema do crime cibernético adotou uma abordagem orientada a serviços, terceirizando diferentes aspectos de operações para provedores especializados em formato “como serviço”. É crucial que as organizações compreendam sua exposição ao ransomware e o impacto desses ataques.

Extorsão é o novo preto

O panorama do ransomware evoluiu desde suas origens em 1989, e os criminosos cibernéticos financeiramente motivados podem ser classificados em três categorias principais:

• Um ponto importante é o surgimento de grupos de extorsão que utilizam o ransomware para criptografar os sistemas de suas vítimas, mas não operam uma plataforma de vazamento de dados. Esses atores exigem um resgate em troca de um decodificador.

• O grupo de extorsão multiponto, que emprega ransomware/ técnicas destrutivas para prejudicar as operações de uma vítima. Além disso, eles também roubam dados confidenciais e chantageiam ameaçando vazar esses dados na dark web. Esses atores exigem um resgate em troca do fornecimento de um decodificador ou da devolução dos dados, bem como para evitar o vazamento das informações. Esses pagamentos podem ocorrer de forma única ou em parcelas separadas.

• Os grupos de extorsão de dados, que não seguem o padrão tradicional do ransomware, mas se dedicam exclusivamente ao roubo de informações, em seguida, ameaçam vazar esses dados caso um resgate não seja pago. Nesses casos, normalmente não há destruição de dados ou criptografia envolvida.

A maioria dos ataques de ransomware atualmente é realizada por grupos de extorsão de ponto singular, que são mais simples e não exigem uma grande infraestrutura. Esses grupos têm sido responsáveis por ataques impactantes, exigindo grandes quantias de dinheiro, e costumam divulgar seus crimes por meio de sites de vazamento na dark web. No entanto, apenas algumas das vítimas são expostas nesses sites, já que aqueles que pagam o resgate podem não ter suas informações vazadas. Alguns argumentam que os grupos de extorsão de dados devem ser considerados parte do cenário de ransomware, pois estão interconectados com outros grupos. As estatísticas apresentadas se baseiam em uma análise de vazamentos de dados de diversos grupos de extorsão, embora abranjam apenas uma pequena parte do cenário de ransomware.

Em resumo:

• LockBit, Clop e Alphv foram os grupos de extorsão multipontos mais predominantes no cenário de ransomware.

• Os recém-chegados BianLian, Royal e Play parecem ter recursos, infraestrutura e capacidade para se tornarem figuras dominantes na paisagem sem intervenção. É importante ressaltar que esses novos grupos não devem ser subestimados, porque podem ser compostos por criminosos altamente experientes, com anos ou até décadas de experiência em crimes cibernéticos.

• Os Estados Unidos foi o país mais visado, representando 51% de todos os ataques.

• Embora o setor da construção tenha sido o mais afetado em 2022, todos os setores foram visados, incluindo educação e saúde, apesar de muitos grupos de extorsão afirmarem seguir um “código moral” que supostamente os impediria de atacar essas áreas.

O crime cibernético como serviço nasceu do sucesso do RaaS

Uma tendência comum entre os principais grupos de ransomware é a adoção do Ransomware como Serviço (RaaS), onde eles atuam como provedores de serviços, oferecendo ferramentas e conhecimentos especializados para afiliados em troca de uma porcentagem dos lucros. Isso impulsionou a profissionalização do setor de ransomware e o rápido crescimento de uma indústria de serviços que fornece recursos para grupos emergentes de ameaças. Esses grupos podem comprar e vender serviços de forma anônima usando criptomoedas e a dark web.

Organizações que buscam combater o ransomware têm como objetivo impactar os lucros desses grupos. Embora as apólices de seguro cibernético tenham impulsionado mudanças positivas, é importante reconhecer que elas também podem fornecer financiamento para o cibercrime. As autoridades têm obtido certo sucesso ao impor sanções a organizações e tornar ilegal o pagamento de resgate. Essa tendência provavelmente continuará em 2023, à medida que o ransomware é reconhecido como uma ameaça de alto nível.