Emotet Trojan: No mercado grupos de hackers fazem manutenção de Trojan para atacar os setores bancários
O aperto da segurança bancária, como a verificação de dois fatores, está pressionando os grupos de hackers a diversificar
O Mealybug, o grupo de hackers por trás dos ataques de malware do Emotet 2017, redefiniu o modelo de negócios de sua organização e agora opera como mercenários de malware.
Isso está de acordo com a empresa de segurança cibernética Symantec , que diz que o grupo passou da manutenção de cavalos de Troia projetados para atacar o setor bancário, para uma função que os vê como distribuidores de recursos de malware.
Em um post no blog , o grupo Threat Intelligence da Symantec identificou a mudança de tática no último ano, observando: “O Mealybug desenvolveu suas capacidades ao longo dos anos e agora parece oferecer um serviço de ponta a ponta para a entrega de ameaças”.
"Ele oferece as ameaças, ofusca-as para reduzir as chances de detecção e fornece um módulo de propagação que permite que as ameaças se propaguem".
Emotet
Em 2017, o setor bancário europeu estava cercado pelo malware Trojan Emotet, um malware autopropagável que espalha redes de computadores coletando informações de máquinas antes de enviá-las de volta ao servidor de comando e controle (C & C).
Uma vez que o malware está instalado em apenas um único computador: “O Emotet faz o download e executa um módulo de expansão que contém uma lista de senha que ele usa para tentar forçar o acesso a outras máquinas na mesma rede”, afirma a Symantec.
Isso pode causar vários problemas para sua rede de TI, adicionando carga de trabalho à medida que os processos são executados em segundo plano, mas também resultará em tempo de inatividade para seus funcionários, pois eles são bloqueados em suas contas devido a muitas entradas de senha incorretas.
O módulo também enviará spams de phishing por e-mail dentro de sua rede, geralmente usando técnicas de engenharia social padrão, como incluir a palavra "fatura" na linha de assunto.
O email também pode conter o nome do funcionário cujo sistema já foi comprometido.
Depois que as informações confidenciais forem coletadas, elas serão enviadas de volta ao servidor C & C.
No início deste ano , informamos como dois grupos de ameaças alinharam seus interesses e trabalharam em colaboração para combinar seus cavalos de Troia 'IcedID' e 'TrickBot' para atacar a infraestrutura bancária, em outro exemplo de mercado de malware mal-intencionado que está mudando.
Discutimos como os atacantes agora enviam o IcedID diretamente como spam, e o malware atua como um downloader que instala o TrickBot, que, por sua vez, instala outros módulos nas máquinas das vítimas.
Redefinido
A Symantec seguiu o uso desse Trojan em particular e está vendo um forte aumento em seu uso nos EUA.
A Symantec observa em sua análise de ameaças que: “O Mealybug parece ter encontrado seu nicho como provedor de serviços de entrega para outras ameaças. O componente principal do Trojan.Emotet funciona como um carregador e pode teoricamente suportar qualquer carga útil. ”
O Emotet Trojan está agora registrado em todo o mundo e suas metas não são mais voltadas para o setor bancário. O grande número de usos significa que isso está fora do mercado negro para uso.
“O Emotet cresceu no segundo semestre de 2017 e, naquele ano, os alvos do Mealybug incluíram vítimas no Canadá, China, Reino Unido e México”, afirma a Symantec.
Uma das principais razões citadas para a mudança de tática por Mealybug é a introdução e a popularidade generalizada da autenticação de dois fatores. Isso tornou “difícil comprometer as contas ao roubar credenciais, e a conscientização e a proteção melhoraram à medida que o banco on-line amadureceu”, observa Symantec.
FONTE:CBRONLINE
Comentários
Postar um comentário