{"id":19617,"date":"2022-06-07T18:53:44","date_gmt":"2022-06-07T21:53:44","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19617"},"modified":"2022-06-07T18:53:44","modified_gmt":"2022-06-07T21:53:44","slug":"spam-direcionada-a-vitimas-com-malware-svcready","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/spam-direcionada-a-vitimas-com-malware-svcready\/","title":{"rendered":"Spam direcionada a v\u00edtimas com malware SVCReady"},"content":{"rendered":"\n

Pesquisadores alertam sobre campanha de spam direcionada a v\u00edtimas com malware SVCReady<\/span><\/h1>\n

\u00a0<\/p>\n

Uma nova onda de campanhas de phishing foi observada espalhando um malware previamente documentado chamado <\/span>SVCReady .<\/span><\/p>\n

\u00a0<\/p>\n

\u201cO malware \u00e9 not\u00e1vel pela maneira incomum como \u00e9 entregue aos PCs alvo usando shellcode oculto nas propriedades dos documentos do Microsoft Office\u201d, informou Patrick Schl\u00e4pfer, analista de amea\u00e7as da HP, <\/span>em<\/span> um artigo t\u00e9cnico.<\/span><\/p>\n

\u00a0<\/p>\n

Diz-se que o SVCReady est\u00e1 em seu est\u00e1gio inicial de desenvolvimento, com os autores atualizando iterativamente o malware v\u00e1rias vezes no m\u00eas passado. Os primeiros sinais de atividade datam de 22 de abril de 2022.<\/span><\/p>\n

\u00a0<\/p>\n

As cadeias de infec\u00e7\u00e3o envolvem o envio de anexos de documentos do Microsoft Word para alvos por e-mail que cont\u00eam macros VBA para ativar a implanta\u00e7\u00e3o de cargas maliciosas.<\/span><\/p>\n

\u00a0<\/p>\n

Mas onde essa campanha se destaca \u00e9 que, em vez de empregar o PowerShell ou MSHTA para recuperar execut\u00e1veis \u200b\u200bdo pr\u00f3ximo est\u00e1gio de um servidor remoto, a macro executa o shellcode armazenado nas <\/span>propriedades do documento<\/span> , que posteriormente descarta o malware SVCReady.<\/span><\/p>\n

\u00a0<\/p>\n

Al\u00e9m de conseguir persist\u00eancia no host infectado por meio de uma tarefa agendada, o malware vem com a capacidade de coletar informa\u00e7\u00f5es do sistema, capturas de tela, executar comandos do shell, al\u00e9m de baixar e executar arquivos arbitr\u00e1rios.<\/span><\/p>\n

\u00a0<\/p>\n

Isso tamb\u00e9m incluiu a entrega <\/span>do RedLine Stealer<\/span> como uma carga \u00fatil de acompanhamento em uma inst\u00e2ncia em 26 de abril, depois que as m\u00e1quinas foram inicialmente comprometidas com o SVCReady.<\/span><\/p>\n

\u00a0<\/p>\n

A HP disse que identificou sobreposi\u00e7\u00f5es entre os nomes dos arquivos dos documentos de atra\u00e7\u00e3o e as imagens contidas nos arquivos usados \u200b\u200bpara distribuir o SVCReady e aqueles empregados por outro grupo chamado <\/span>TA551<\/span> (tamb\u00e9m conhecido como Hive0106 ou <\/span>Shathak<\/span> ), mas n\u00e3o est\u00e1 imediatamente claro se o mesmo agente da amea\u00e7a \u00e9 por tr\u00e1s da \u00faltima campanha.<\/span><\/p>\n

\u00a0<\/p>\n

“\u00c9 poss\u00edvel que estejamos vendo os artefatos deixados por dois invasores diferentes que est\u00e3o usando as mesmas ferramentas”, observou Schl\u00e4pfer. “No entanto, nossas descobertas mostram que modelos semelhantes e criadores de documentos potencialmente est\u00e3o sendo usados \u200b\u200bpelos atores por tr\u00e1s das campanhas TA551 e SVCReady”.<\/span>\u00a0 <\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2022\/06\/researchers-warn-of-spam-campaign.html<\/a>\u00a0 (Autor: Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Pesquisadores alertam sobre campanha de spam direcionada a v\u00edtimas com malware SVCReady \u00a0 Uma nova onda de campanhas de phishing foi observada espalhando um malware previamente documentado chamado SVCReady . \u00a0 \u201cO malware \u00e9 not\u00e1vel pela maneira incomum como \u00e9 entregue aos PCs alvo usando shellcode oculto nas propriedades dos documentos do Microsoft Office\u201d, informou […]<\/p>\n","protected":false},"author":2,"featured_media":19619,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19617","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19617","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19617"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19617\/revisions"}],"predecessor-version":[{"id":19620,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19617\/revisions\/19620"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19619"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}