titulo

titulo

Uma nova ameaça está visando executivos em uma tentativa de infectar as suas máquinas com diversos malwares, incluindo o ransomware. O Ransomware continua a representar uma das maiores ameaças aos usuários da internet. Recentemente o FBI emitiu uma mensagem confidencial urgente para negócios e organizações sobre o ransomware SamSam

.Empresas de Segurança estão colaborando em meio a um rápido crescimento no número de infecções causadas por ransomware. Os EUA e o Canadá emitiram um alerta conjunto sobre o recente aumento nos ataques baseados em ransomware. O mais desconcertante aspecto da situação é o contínuo aperfeiçoamento desse tipo de malware e as técnicas adotadas por organizações criminosas que os espalham. Hoje será discutida uma nova ameaça que adota uma estratégia singular de infecção, o ataque spear phishing para comprometimento das máquinas.

Empresas de Segurança costuma observar ataques de spear phishing para fins de espionagem, entretanto, a adoção dessas técnicas no campo criminal contribui para a sua efetividade. Nessa modalidade, os atacantes usam um conhecimento profundo das vítimas em potenciais para visa-las, e claramente essa aproximação os permite customizar a operação. De acordo com os especialistas da ProofPoint, a nova ameaça, um grupo chamado TA530, está visando executivos e outros funcionários de alto escalão em uma tentativa de comprometer suas máquinas com vários malwares, neles incluso o ransomware Cryptowall.

Outras ameaças, no arsenal de malware, do grupo TA530 são:

Ursnif iSFB: Trojan Bancário voltado para atacar Bancos Australianos
Fileless Ursnif/RecoLoad: Trojan de Reconhecimento de Ponto de Venda (PoS) voltado para o comércio e turismo.
Tiny Loader: Um baixador usado para campanhas que visam comércio e turismo
TeamSpy/TVSpy: Ferramenta de Acesso Remoto (RAT) utilizando o Teamviewer visando o comércio e turismo.
Crytowall: Vírus Sequestrador visando várias companhias
Nymaim: Instalador de Trojan Bancário visando Instituições Financeiras
Dridex Botnet : Botnet de Trojan Bancário que visam alvos no Reino Unido.

Os atacantes foram capazes de definir perfis das vítimas, e procuraram visar especificamente indústrias e áreas geográficas. A metodologia é simples, ao visar executivos há uma grande possibilidade que as vítimas irão pagar para recuperar informação sensível e usualmente, pessoas nessas posições são mais suscetíveis a terem acesso a contas corporativas de bancos online e outros serviços.

O blog da companhia publicou:”Adicionalmente, o TA530 customiza o e-mail para cada alvo ao especificar o nome do alvo, nome do ofício, número de telefone, e o nome da companhia no corpo do e-mail, assunto e nome do anexo. Em diversas ocasiões, nós verificamos que esses detalhes estão corretos para a vítima intencionada. Enquanto nós não sabemos ao certo a fonte desses detalhes, eles frequentemente aparecem em websites públicos, tais quais o Linkedin ou o próprio site da companhia. A customização não termina com a isca; o malware usado nas campanhas é também direcionado por regiões e setores da indústria”.

http://securityaffairs.co/wordpress/46076/cyber-crime/ta530-group-spear-phishing.html

https://www.proofpoint.com/us/threat-insight/post/phish-scales-malicious-actor-target-execs,