Ataque inova com ‘bombas de fragmentação’ de malware

O malware é distribuído por meio de e-mails de phishing e loaders de malware. Depois que o arquivo inicial é executado em uma máquina, ele “se desdobra”, instalando até dez tipos de malware que roubam informações.

Muitos arquivos de distribuição continham utilitários projetados para ajudar no sucesso de uma infecção, como ofuscadores e ferramentas para desabilitar o Windows Defender e outros sistemas de proteção. Além disso, algumas das amostras pareciam estar ligadas a outras operações, o que é um forte indicador de que o agente poderia ter sido pago por infecção. Quando tudo isso é colocado junto, a empresa concluiu que era uma situação em que o ator tem a chance, com um único arquivo inicial, de roubar as informações da vítima, carregar mais malware na máquina da vítima e ser pago pela infecção usando o malware. de outro grupo, todos ao mesmo tempo ou qualquer combinação dos itens acima.

Entre os países atingidos – conforme os registros de uploads para o Virut Total -, o incomum é a presença da Rússia. Normalmente, os atacantes da região evitam atingir os membros da Comunidade de Estados Independentes (CEI), uma vez que as autoridades russas tendem a não processar o crime cibernético se este não afeta o seu território ou o dos seus aliados. Mas é possível que amostras enviadas da Rússia tenham sido enviadas na verdade por proxies para ocultar sua origem real, ou por soluções de segurança baseadas naquele país – ou uma combinação disso tudo.

A maioria das amostras foi enviada para serviços como o Virus Total e nossos sistemas usando APIs, o que é um indicador de soluções automatizadas de segurança que as detectam. 

Créditos: CISO Advisor