{"id":18687,"date":"2021-04-16T18:01:18","date_gmt":"2021-04-16T21:01:18","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=18687"},"modified":"2021-04-16T18:04:03","modified_gmt":"2021-04-16T21:04:03","slug":"novo-malware-rouba-senhas-de-usuarios","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/04\/basico\/novo-malware-rouba-senhas-de-usuarios\/","title":{"rendered":"Novo malware rouba senhas de usu\u00e1rios"},"content":{"rendered":"\n
<\/pre>\n\n\n\n
Um downloader de malware n\u00e3o documentado anteriormente foi identificado em ataques de phishing para implantar roubos de credenciais e outras cargas maliciosas.<\/p>\n
Chamado de “Saint Bot”, o malware teria aparecido pela primeira vez em janeiro de 2021, com indica\u00e7\u00f5es de que estava em desenvolvimento ativo.<\/span><\/p>\n
“Saint Bot \u00e9 um downloader que apareceu recentemente e est\u00e1 ganhando impulso lentamente. Ele foi visto derrubando, por exemplo ladr\u00f5es, o Taurus Stealer ou outros exemplos de carregadores, mas seu design permite utiliz\u00e1-lo para distribuir qualquer tipo de malware , “disse Aleksandra” Hasherezade “Doniec, analista de intelig\u00eancia de amea\u00e7as da Malwarebytes.”<\/span><\/p>\n
“Al\u00e9m disso, Saint Bot emprega uma grande variedade de t\u00e9cnicas que, embora n\u00e3o sejam novas, indicam algum n\u00edvel de sofistica\u00e7\u00e3o, considerando sua apar\u00eancia relativamente nova.”<\/span><\/p>\n
A cadeia de infec\u00e7\u00e3o analisada pela empresa de seguran\u00e7a cibern\u00e9tica come\u00e7a com um e-mail de phishing contendo um arquivo ZIP incorporado (“bitcoin.zip”) que afirma ser uma carteira bitcoin quando, na verdade, \u00e9 um script PowerShell disfar\u00e7ado de arquivo de atalho .LNK. <\/span><\/p>\n
Em seguida, esse script do PowerShell baixa o malware de est\u00e1gio seguinte, um execut\u00e1vel WindowsUpdate.exe, que, por sua vez, despeja um segundo execut\u00e1vel (InstallUtil.exe) que faz o download de mais dois execut\u00e1veis \u200b\u200bchamados def.exe e putty.exe.<\/span><\/p>\n
\"https:\/\/thehackernews.com\/images\/-uIAVQPFuDVE\/YHBFY-Ya4HI\/AAAAAAAACOs\/g6UIR9fcwk8aO8g52pmyo9i31-_UkywRgCLcBGAsYHQ\/s0\/malware-attack.jpg\"<\/p>\n
Enquanto o primeiro \u00e9 um script de lote respons\u00e1vel por desabilitar o Windows Defender, putty.exe cont\u00e9m a carga maliciosa que eventualmente se conecta a um servidor de comando e controle (C2) para explora\u00e7\u00e3o posterior.<\/span><\/p>\n
A ofusca\u00e7\u00e3o presente em cada est\u00e1gio da infec\u00e7\u00e3o, associada \u00e0s t\u00e9cnicas de anti-an\u00e1lise adotadas pelo malware, permite que os operadores de malware explorem os dispositivos em que foram instalados sem chamar a aten\u00e7\u00e3o.<\/span><\/p>\n
Al\u00e9m de realizar “verifica\u00e7\u00f5es de autodefesa” para verificar a presen\u00e7a de um depurador ou de um ambiente virtual, o Saint Bot foi projetado para n\u00e3o ser executado na Rom\u00eania e em pa\u00edses selecionados da Comunidade de Estados Independentes (CEI), que inclui Arm\u00eania, Belarus, Cazaquist\u00e3o, Mold\u00e1via , R\u00fassia e Ucr\u00e2nia.<\/span><\/p>\n
A lista de comandos suportados pelo malware inclui <\/span><\/p>\n
–<\/span> baixar e executar outras cargas recuperadas do servidor C2;<\/span><\/p>\n
-atualizar o malware do bot, e<\/span><\/p>\n
-desinstalar-se da m\u00e1quina comprometida.<\/span><\/p>\n
Embora esses recursos possam parecer muito pequenos, o fato de Saint Bot servir como um downloader para outro malware o torna perigoso o suficiente.<\/span><\/p>\n
Curiosamente, as pr\u00f3prias cargas \u00fateis s\u00e3o obtidas de arquivos hospedados no Discord, uma t\u00e1tica que se tornou cada vez mais comum entre os agentes de amea\u00e7as, que abusam de fun\u00e7\u00f5es leg\u00edtimas de tais plataformas para comunica\u00e7\u00f5es C2, que evitam a seguran\u00e7a e distribuem o malware.<\/span><\/p>\n
“Quando os arquivos s\u00e3o carregados e armazenados no CDN do Discord, eles podem ser acessados \u200b\u200busando o URL do CDN codificado por qualquer sistema, independentemente de o Discord ter sido instalado, simplesmente navegando at\u00e9 o URL do CDN, onde o conte\u00fado est\u00e1 hospedado”, pesquisadores da Cisco Talos revelou em uma an\u00e1lise no in\u00edcio desta semana, transformando softwares como o Discord e o Slack em alvos lucrativos para hospedar conte\u00fado malicioso.<\/span><\/p>\n
“Saint Bot \u00e9 mais um pequeno downloader”, disse Hasherezade. “N\u00e3o t\u00e3o maduro quanto o SmokeLoader, mas \u00e9 bastante novo e atualmente desenvolvido ativamente. O autor parece ter algum conhecimento de design de malware, o que \u00e9 vis\u00edvel pela ampla gama de t\u00e9cnicas utilizadas. No entanto, todas as t\u00e9cnicas implantadas s\u00e3o bem conhecidas e bastante padronizadas, n\u00e3o mostrando muita criatividade at\u00e9 agora. “
<\/span><\/p>\n
\u00a0<\/p>\n
Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2021\/04\/alert-theres-new-malware-out-there.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Um downloader de malware n\u00e3o documentado anteriormente foi identificado em ataques de phishing para implantar roubos de credenciais e outras cargas maliciosas. Chamado de “Saint Bot”, o malware teria aparecido pela primeira vez em janeiro de 2021, com indica\u00e7\u00f5es de que estava em desenvolvimento ativo. “Saint Bot \u00e9 um downloader que apareceu recentemente e est\u00e1 […]<\/p>\n","protected":false},"author":2,"featured_media":18693,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,105,99],"tags":[],"class_list":["post-18687","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18687","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=18687"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18687\/revisions"}],"predecessor-version":[{"id":18697,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18687\/revisions\/18697"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/18693"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=18687"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=18687"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=18687"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}