Os downloads de ferramentas de hack de fóruns clandestinos estão aumentando e as ferramentas estão se tornando mais sofisticadas; hackers de baixo nível estão obtendo acesso a versões hackeadas de ferramentas sofisticadas; a corretagem de acesso está crescendo; e as ferramentas existentes são reaproveitadas para ataques mais agressivos.
Um exemplo de malware hackeado foi descoberto quando os pesquisadores detectaram um usuário baixando uma cópia crackeada da ferramenta de recheio de credenciais Sentry MBA de um fórum de cracking em idioma turco. O Sentry MBA inclui recursos para contornar os controles de segurança do site, como desafios CAPTCHA e firewalls de aplicativos da web. “Atores de ameaças”, conforme os pesquisadores do Relatório HP Wolf Security Threat Insights para 1S / 2021 ( PDF ), “podem usar reconhecimento óptico de caracteres (OCR) pré-agrupado, modelos de visão computacional ou configurar a ferramenta para consultar as APIs de serviços de resolução de CAPTCHA de terceiros durante um ataque. ”
O processo ilustra como hackers de baixo nível podem acessar e usar malware de alto nível. “Um grande motivador do motivo pelo qual as ferramentas de hacking são tão fáceis de obter”, dizem os pesquisadores, “é a pirataria ou ‘cracking’ generalizada de malware, permitindo que qualquer pessoa use ferramentas sem pagamento mesmo que os desenvolvedores pretendam o contrário.”
O Dr. Ian Pratt, chefe global de segurança, sistemas pessoais da HP Inc, acrescentou: “A proliferação de ferramentas de hacking pirateadas e fóruns clandestinos está permitindo que atores de baixo nível representassem sérios riscos à segurança corporativa. Simultaneamente, os usuários continuam sendo vítimas de ataques de phishing simples repetidas vezes. ”
A única coisa que não emergiu do novo relatório de percepção de ameaças dos pesquisadores é qualquer redução na atividade maliciosa, embora pareça que as campanhas de phishing com o tema COVID-19 estão finalmente diminuindo. “Menos de 1% dos e-mails isolados usaram COVID-19 como isca”, observa o relatório.
Atualmente, quase metade de todas as iscas de phishing são baseadas em transações comerciais. Uma campanha descoberta pelos pesquisadores em janeiro de 2021 usou formulários de emprego disfarçados com um currículo em anexo, visando principalmente empresas no Chile, Itália, Japão, Paquistão, Filipinas, Reino Unido e EUA. O anexo explorou a vulnerabilidade do Microsoft Equation Editor ( CVE-2017-11882 ). Se for bem-sucedido, ele descartou o Remcos RAT .
Antes da derrubada do Emotet no final de janeiro de 2021, os pesquisadores viram campanhas da Emotet visando organizações japonesas usando iscas de tópicos de e-mail roubados. O sequestro de thread de email foi usado em 15% de todas as iscas de phishing durante o primeiro semestre de 2021.
O Emotet se tornou cada vez mais um mecanismo de entrega de outros malwares. Este mesmo processo agora é visível com CryptBot. Originalmente um ladrão de informações, uma campanha de maio de 2021 descobriu que ele estava sendo usado para entregar o cavalo de Troia bancário DanaBot associado ao grupo de ameaça TA547.
O Emotet foi substituído pelo Dridex como a família de malware mais comum. Isso é seguido pelo Agente Tesla, embora Emotet se apegue ao número três. A vulnerabilidade do Microsoft Equation Editor é, de acordo com os pesquisadores da HP Wolf, de longe a vulnerabilidade mais explorada, com um aumento de 24% em H1 / 2021 em relação a H2 / 2020.
Os pesquisadores também observaram um aumento no uso do kit de exploração Purple Fox. Uma amostra capturada em abril de 2021 tentou explorar uma vulnerabilidade de corrupção de memória no Internet Explorer ( CVE-2021-26411 , corrigido no início de março de 2021). O código de exploração de PoC para esta vulnerabilidade foi lançado em meados de março de 2021, e um código semelhante ao PoC foi encontrado na Purple Fox em abril, conforme os pesquisadores, “as organizações só tinham uma pequena janela para corrigir antes de arriscar o compromisso da Purple Fox.”
“À medida que o cibercrime se torna mais organizado”, conforme Pratt, “e os participantes menores podem obter facilmente ferramentas eficazes e monetizar ataques com a venda de acesso, não existe violação menor. O endpoint continua a ser um grande foco para os cibercriminosos. Suas técnicas estão ficando mais sofisticadas, por isso é mais importante do que nunca ter uma infraestrutura de endpoint abrangente e resiliente e defesa cibernética. ”
Este artigo é uma tradução de: https://www.securityweek.com/how-low-level-hackers-access-high-end-malware (Autor: Kevin Townsend)
