Como os ataques esteganográficos estão atingindo empresas

O grupo de ameaças persistentes (APT) TA558, ativo desde 2018, direcionou recentemente seus ataques a empresas de hotelaria e turismo, principalmente na América Latina. A campanha, denominada “SteganoAmor”, utiliza esteganografia para ocultar malwares em imagens JPG, explorando a vulnerabilidade CVE-2017-11882 do Microsoft Office Equation Editor.

Metodologia de Ataque:

1. E-mails Maliciosos: A campanha inicia com o envio de e-mails contendo anexos de documentos aparentemente legítimos (Word ou Excel).
2. Exploração da Vulnerabilidade: Ao abrir o anexo em uma versão desatualizada do Office, a vulnerabilidade CVE-2017-11882 é explorada, permitindo o download de um Visual Basic Script (VBS).
3. Esteganografia: O VBS busca por uma imagem JPG contendo a carga útil do malware codificada em base 64.
4. Execução do Malware: A carga útil, composta por diversos malwares, é decodificada e executada no sistema comprometido.

Malwares Identificados:

• AgentTesla: Spyware que captura dados confidenciais (teclas digitadas, área de transferência, capturas de tela).
• FormBook: Infostealer que coleta credenciais, captura telas, monitora teclas e baixa/executa arquivos.
• Remcos: RAT que permite controle remoto do sistema, captura de teclas, ativação de webcam e microfone.
• LokiBot: Ladrão de informações que coleta credenciais de diversos aplicativos.
• Guloader: Downloader de cargas secundárias, normalmente compactadas para evitar detecção.
• Snake Keylogger: Malware que registra teclas digitadas, coleta dados da área de transferência, captura telas e credenciais.
• XWorm: RAT que concede controle remoto ao invasor.

Infraestrutura C&C:

• Armazenamento em Nuvem: As cargas finais e scripts maliciosos são armazenados em serviços de nuvem legítimos (ex: Google Drive) para evitar detecção.
• Servidores FTP: As informações roubadas são enviadas para servidores FTP legítimos comprometidos, utilizados como infraestrutura de comando e controle (C&C).

Impacto:

• Mais de 320 ataques: A Positive Technologies identificou mais de 320 ataques, principalmente na América Latina, mas com alcance global.
• Riscos aos Sistemas Corporativos: O roubo de dados confidenciais, como credenciais e informações financeiras, pode comprometer a segurança e a reputação das empresas.

Mitigação:

• Atualização do Office: Aplique a atualização do Microsoft Office que corrige a vulnerabilidade CVE-2017-11882.
• Conscientização do Usuário: Oriente os colaboradores sobre os riscos de emails e anexos suspeitos.
• Solução de Segurança Robusta: Implemente uma solução de segurança robusta com recursos de antivírus, anti-malware e firewall para detectar e bloquear ameaças.
• Monitoramento Contínuo: Monitore os sistemas de forma contínua para identificar atividades maliciosas.

Recomendações Adicionais:

• Análise de IoCs: Consulte a lista de indicadores de comprometimento (IoCs) do grupo TA558 para identificar possíveis infecções.
• Busca por Orientação Especializada: Em caso de suspeita de ataque, busque a orientação de especialistas em segurança cibernética para uma análise aprofundada e medidas de remediação adequadas.

Lembre-se: A segurança cibernética é um processo contínuo que exige atenção constante e medidas proativas para proteger seus sistemas e dados confidenciais.