{"id":18400,"date":"2020-12-07T12:19:32","date_gmt":"2020-12-07T15:19:32","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=18400"},"modified":"2020-12-17T10:53:47","modified_gmt":"2020-12-17T13:53:47","slug":"malware-bandook-tem-como-alvo-varios-setores","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2020\/12\/exploits\/malware-bandook-tem-como-alvo-varios-setores\/","title":{"rendered":"Malware Bandook tem como alvo v\u00e1rios setores"},"content":{"rendered":"\n\n\n\n\n
Um grupo de ciberespionagem com suspeitas de liga\u00e7\u00f5es com os governos cazaque e liban\u00eas desencadeou uma nova onda de ataques contra uma infinidade de ind\u00fastrias com uma vers\u00e3o reformulada de um cavalo de Troia de 13 anos de idade.<\/h6>\n

\u00a0<\/p>\n

A Check Point Research destacou hackers afiliados a um grupo chamado Dark Caracal em um novo relat\u00f3rio publicado ontem por seus esfor\u00e7os para implantar “dezenas de variantes assinadas digitalmente” do cavalo de Troia Bandook Windows no ano passado, assim, mais uma vez “reacendendo o interesse neste antigo fam\u00edlia de malware. “<\/h6>\n

\u00a0<\/p>\n

As diferentes verticais escolhidas pelo ator da amea\u00e7a incluem institui\u00e7\u00f5es governamentais, financeiras, de energia, de alimentos, sa\u00fade, educa\u00e7\u00e3o, TI e institui\u00e7\u00f5es legais localizadas no Chile, Chipre, Alemanha, Indon\u00e9sia, It\u00e1lia, Cingapura, Su\u00ed\u00e7a, Turquia e os EUA.<\/h6>\n

\u00a0<\/p>\n

\n
\n
\n
\n
A variedade anormal de grandes mercados e locais alvo “refor\u00e7a a hip\u00f3tese anterior de que o malware n\u00e3o \u00e9 desenvolvido internamente e usado por uma \u00fanica entidade, mas \u00e9 parte de uma infraestrutura ofensiva vendida por terceiros para governos e agentes de amea\u00e7as em todo o mundo, para facilitar opera\u00e7\u00f5es cibern\u00e9ticas ofensivas “, conforme os pesquisadores.<\/span><\/h6>\n

\u00a0<\/p>\n

O uso extensivo de Dark Caracal’s do Bandook RAT para executar espionagem em escala global foi documentado pela Electronic Frontier Foundation (EFF) e Lookout no in\u00edcio de 2018, com o grupo atribu\u00eddo ao roubo de propriedade intelectual da empresa e informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal de milhares de v\u00edtimas abrangendo mais de 21 pa\u00edses.<\/span><\/h6>\n

\u00a0<\/p>\n

\"\"<\/a><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n


O prol\u00edfico grupo, que opera pelo menos desde 2012, est\u00e1 vinculado \u00e0 Dire\u00e7\u00e3o Geral Libanesa de Seguran\u00e7a Geral (GDGS), considerando-o uma amea\u00e7a persistente avan\u00e7ada em n\u00edvel de estado-na\u00e7\u00e3o.<\/span><\/h6>\n
\u00a0<\/h6>\n
O uso simult\u00e2neo da mesma infraestrutura de malware por grupos diferentes para campanhas aparentemente n\u00e3o relacionadas levou a EFF e a Lookout a supor que o ator APT “usa ou gerencia a infraestrutura encontrada para hospedar uma s\u00e9rie de campanhas de ciberespionagem globais generalizadas”.<\/span><\/h6>\n
\u00a0<\/h6>\n
Agora o mesmo grupo est\u00e1 de volta com uma nova cepa de Bandook, com esfor\u00e7os adicionais para impedir a detec\u00e7\u00e3o e an\u00e1lise, de acordo com a Check Point Research.<\/span><\/h6>\n
\n
\n
\u00a0<\/div>\n<\/div>\n<\/div>\n
\n
\n
\n
\n
Uma Cadeia de Infec\u00e7\u00e3o de Tr\u00eas Est\u00e1gios <\/span><\/strong><\/h6>\n
\u00a0<\/h6>\n
A cadeia de infec\u00e7\u00e3o \u00e9 um processo de tr\u00eas est\u00e1gios que come\u00e7a com um documento do Microsoft Word (por exemplo, “Documentos certificados.docx”) entregue dentro de um arquivo ZIP que, quando aberto, baixa macros maliciosas, que subsequentemente descartam e executam um segundo script do PowerShell de est\u00e1gio criptografado dentro do documento original do Word. <\/span><\/h6>\n
\u00a0<\/h6>\n
Na \u00faltima fase do ataque, esse script do PowerShell \u00e9 usado para baixar partes execut\u00e1veis \u200b\u200bcodificadas de servi\u00e7os de armazenamento em nuvem como Dropbox ou Bitbucket para montar o carregador Bandook, que ent\u00e3o assume a responsabilidade de injetar o RAT em um novo processo do Internet Explorer.<\/span><\/h6>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\u00a0<\/p>\n

O Bandook RAT – dispon\u00edvel comercialmente a partir de 2007 – vem com todos os recursos normalmente associados a backdoors, pois estabelece contato com um servidor controlado remotamente para receber comandos adicionais que v\u00e3o desde a captura de screenshots at\u00e9 a realiza\u00e7\u00e3o de v\u00e1rias opera\u00e7\u00f5es relacionadas a arquivos.<\/span><\/h6>\n

\u00a0<\/p>\n

\"\"<\/a><\/p>\n

\u00a0<\/p>\n\n\n\n

Mas de acordo com a empresa de seguran\u00e7a cibern\u00e9tica, a nova variante do Bandook \u00e9 uma vers\u00e3o enxuta do malware com suporte para apenas 11 comandos, enquanto as vers\u00f5es anteriores eram conhecidas por apresentar at\u00e9 120 comandos, sugerindo o desejo dos operadores de reduzir o malware pegada e evadir a detec\u00e7\u00e3o contra alvos de alto perfil. Isso n\u00e3o \u00e9 tudo.<\/h6>\n
 <\/h6>\n
N\u00e3o apenas os certificados v\u00e1lidos emitidos pela Certum foram usados \u200b\u200bpara assinar esta vers\u00e3o reduzida do execut\u00e1vel do malware, os pesquisadores da Check Point descobriram mais duas amostras – variantes completas e n\u00e3o assinadas e digitalmente assinadas – que eles acreditam serem operadas e vendidas por uma \u00fanica entidade.<\/h6>\n
 <\/h6>\n
“Embora n\u00e3o seja t\u00e3o capaz, nem t\u00e3o praticado em seguran\u00e7a operacional como algumas outras empresas de seguran\u00e7a ofensivas, o grupo por tr\u00e1s da infraestrutura nesses ataques parece melhorar com o tempo, adicionando v\u00e1rias camadas de seguran\u00e7a, certificados v\u00e1lidos e outras t\u00e9cnicas, para dificultar a detec\u00e7\u00e3o e an\u00e1lise de suas opera\u00e7\u00f5es “, conclu\u00edram os pesquisadores.<\/h6>\n

 <\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2020\/11\/digitally-signed-bandook-malware-once.html<\/h6>\n\n\n\n\n\n
 <\/h6>\n\n\n\n\n\n\n","protected":false},"excerpt":{"rendered":"

Um grupo de ciberespionagem com suspeitas de liga\u00e7\u00f5es com os governos cazaque e liban\u00eas desencadeou uma nova onda de ataques contra uma infinidade de ind\u00fastrias com uma vers\u00e3o reformulada de um cavalo de Troia de 13 anos de idade. \u00a0 A Check Point Research destacou hackers afiliados a um grupo chamado Dark Caracal em um […]<\/p>\n","protected":false},"author":2,"featured_media":18423,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[100,21,105,99],"tags":[],"class_list":["post-18400","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18400","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=18400"}],"version-history":[{"count":29,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18400\/revisions"}],"predecessor-version":[{"id":18437,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18400\/revisions\/18437"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/18423"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=18400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=18400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=18400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}