{"id":358,"date":"2024-04-21T09:12:23","date_gmt":"2024-04-21T12:12:23","guid":{"rendered":"https:\/\/dinizsoft.com.br\/blog\/?p=358"},"modified":"2024-04-21T09:12:51","modified_gmt":"2024-04-21T12:12:51","slug":"como-os-ataques-esteganograficos-estao-atingindo-empresas","status":"publish","type":"post","link":"https:\/\/dinizsoft.com.br\/blog\/como-os-ataques-esteganograficos-estao-atingindo-empresas\/","title":{"rendered":"Como os ataques esteganogr\u00e1ficos est\u00e3o atingindo empresas"},"content":{"rendered":"
\n

O grupo de amea\u00e7as persistentes (APT) TA558, ativo desde 2018, direcionou recentemente seus ataques a empresas de hotelaria e turismo, principalmente na Am\u00e9rica Latina. A campanha, denominada “SteganoAmor”, utiliza esteganografia para ocultar malwares em imagens JPG, explorando a vulnerabilidade CVE-2017-11882 do Microsoft Office Equation Editor.<\/p>\n

Metodologia de Ataque:<\/strong><\/p>\n

    \n
  1. E-mails Maliciosos:<\/strong> A campanha inicia com o envio de e-mails contendo anexos de documentos aparentemente leg\u00edtimos (Word ou Excel).<\/li>\n
  2. Explora\u00e7\u00e3o da Vulnerabilidade:<\/strong> Ao abrir o anexo em uma vers\u00e3o desatualizada do Office, a vulnerabilidade CVE-2017-11882 \u00e9 explorada, permitindo o download de um Visual Basic Script (VBS).<\/li>\n
  3. Esteganografia:<\/strong> O VBS busca por uma imagem JPG contendo a carga \u00fatil do malware codificada em base 64.<\/li>\n
  4. Execu\u00e7\u00e3o do Malware:<\/strong> A carga \u00fatil, composta por diversos malwares, \u00e9 decodificada e executada no sistema comprometido.<\/li>\n<\/ol>\n

    Malwares Identificados:<\/strong><\/p>\n

      \n
    • AgentTesla:<\/strong> Spyware que captura dados confidenciais (teclas digitadas, \u00e1rea de transfer\u00eancia, capturas de tela).<\/li>\n
    • FormBook:<\/strong> Infostealer que coleta credenciais, captura telas, monitora teclas e baixa\/executa arquivos.<\/li>\n
    • Remcos:<\/strong> RAT que permite controle remoto do sistema, captura de teclas, ativa\u00e7\u00e3o de webcam e microfone.<\/li>\n
    • LokiBot:<\/strong> Ladr\u00e3o de informa\u00e7\u00f5es que coleta credenciais de diversos aplicativos.<\/li>\n
    • Guloader:<\/strong> Downloader de cargas secund\u00e1rias, normalmente compactadas para evitar detec\u00e7\u00e3o.<\/li>\n
    • Snake Keylogger:<\/strong> Malware que registra teclas digitadas, coleta dados da \u00e1rea de transfer\u00eancia, captura telas e credenciais.<\/li>\n
    • XWorm:<\/strong> RAT que concede controle remoto ao invasor.<\/li>\n<\/ul>\n

      Infraestrutura C&C:<\/strong><\/p>\n

        \n
      • Armazenamento em Nuvem:<\/strong> As cargas finais e scripts maliciosos s\u00e3o armazenados em servi\u00e7os de nuvem leg\u00edtimos (ex: Google Drive) para evitar detec\u00e7\u00e3o.<\/li>\n
      • Servidores FTP:<\/strong> As informa\u00e7\u00f5es roubadas s\u00e3o enviadas para servidores FTP leg\u00edtimos comprometidos, utilizados como infraestrutura de comando e controle (C&C).<\/li>\n<\/ul>\n

        Impacto:<\/strong><\/p>\n

          \n
        • Mais de 320 ataques:<\/strong> A Positive Technologies identificou mais de 320 ataques, principalmente na Am\u00e9rica Latina, mas com alcance global.<\/li>\n
        • Riscos aos Sistemas Corporativos:<\/strong> O roubo de dados confidenciais, como credenciais e informa\u00e7\u00f5es financeiras, pode comprometer a seguran\u00e7a e a reputa\u00e7\u00e3o das empresas.<\/li>\n<\/ul>\n

          Mitiga\u00e7\u00e3o:<\/strong><\/p>\n

            \n
          • Atualiza\u00e7\u00e3o do Office:<\/strong> Aplique a atualiza\u00e7\u00e3o do Microsoft Office que corrige a vulnerabilidade CVE-2017-11882.<\/li>\n
          • Conscientiza\u00e7\u00e3o do Usu\u00e1rio:<\/strong> Oriente os colaboradores sobre os riscos de emails e anexos suspeitos.<\/li>\n
          • Solu\u00e7\u00e3o de Seguran\u00e7a Robusta:<\/strong> Implemente uma solu\u00e7\u00e3o de seguran\u00e7a robusta com recursos de antiv\u00edrus, anti-malware e firewall para detectar e bloquear amea\u00e7as.<\/li>\n
          • Monitoramento Cont\u00ednuo:<\/strong> Monitore os sistemas de forma cont\u00ednua para identificar atividades maliciosas.<\/li>\n<\/ul>\n

            Recomenda\u00e7\u00f5es Adicionais:<\/strong><\/p>\n

              \n
            • An\u00e1lise de IoCs:<\/strong> Consulte a lista de indicadores de comprometimento (IoCs) do grupo TA558 para identificar poss\u00edveis infec\u00e7\u00f5es.<\/li>\n
            • Busca por Orienta\u00e7\u00e3o Especializada:<\/strong> Em caso de suspeita de ataque, busque a orienta\u00e7\u00e3o de especialistas em seguran\u00e7a cibern\u00e9tica para uma an\u00e1lise aprofundada e medidas de remedia\u00e7\u00e3o adequadas.<\/li>\n<\/ul>\n

              Lembre-se:<\/strong> A seguran\u00e7a cibern\u00e9tica \u00e9 um processo cont\u00ednuo que exige aten\u00e7\u00e3o constante e medidas proativas para proteger seus sistemas e dados confidenciais.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

              O grupo de amea\u00e7as persistentes (APT) TA558, ativo desde 2018, direcionou recentemente seus ataques a empresas de hotelaria e turismo, principalmente na Am\u00e9rica Latina. A campanha, denominada “SteganoAmor”, utiliza esteganografia para ocultar malwares em imagens JPG, explorando a vulnerabilidade CVE-2017-11882 do Microsoft Office Equation Editor.<\/p>\n","protected":false},"author":2,"featured_media":359,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,1,3],"tags":[84,16,85,87,26,88,86],"class_list":["post-358","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-gestao-empresarial","category-sem-categoria","category-tecnologia","tag-ataquesciberneticos","tag-dinizsoft","tag-malware","tag-sistemas","tag-software","tag-ta558","tag-virusdecomputador"],"_links":{"self":[{"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/posts\/358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/comments?post=358"}],"version-history":[{"count":1,"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/posts\/358\/revisions"}],"predecessor-version":[{"id":360,"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/posts\/358\/revisions\/360"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/media\/359"}],"wp:attachment":[{"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/media?parent=358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/categories?post=358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dinizsoft.com.br\/blog\/wp-json\/wp\/v2\/tags?post=358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}