O grupo de ameaças persistentes (APT) TA558, ativo desde 2018, direcionou recentemente seus ataques a empresas de hotelaria e turismo, principalmente na América Latina. A campanha, denominada “SteganoAmor”, utiliza esteganografia para ocultar malwares em imagens JPG, explorando a vulnerabilidade CVE-2017-11882 do Microsoft Office Equation Editor.
Metodologia de Ataque:
- E-mails Maliciosos: A campanha inicia com o envio de e-mails contendo anexos de documentos aparentemente legítimos (Word ou Excel).
- Exploração da Vulnerabilidade: Ao abrir o anexo em uma versão desatualizada do Office, a vulnerabilidade CVE-2017-11882 é explorada, permitindo o download de um Visual Basic Script (VBS).
- Esteganografia: O VBS busca por uma imagem JPG contendo a carga útil do malware codificada em base 64.
- Execução do Malware: A carga útil, composta por diversos malwares, é decodificada e executada no sistema comprometido.
Malwares Identificados:
- AgentTesla: Spyware que captura dados confidenciais (teclas digitadas, área de transferência, capturas de tela).
- FormBook: Infostealer que coleta credenciais, captura telas, monitora teclas e baixa/executa arquivos.
- Remcos: RAT que permite controle remoto do sistema, captura de teclas, ativação de webcam e microfone.
- LokiBot: Ladrão de informações que coleta credenciais de diversos aplicativos.
- Guloader: Downloader de cargas secundárias, normalmente compactadas para evitar detecção.
- Snake Keylogger: Malware que registra teclas digitadas, coleta dados da área de transferência, captura telas e credenciais.
- XWorm: RAT que concede controle remoto ao invasor.
Infraestrutura C&C:
- Armazenamento em Nuvem: As cargas finais e scripts maliciosos são armazenados em serviços de nuvem legítimos (ex: Google Drive) para evitar detecção.
- Servidores FTP: As informações roubadas são enviadas para servidores FTP legítimos comprometidos, utilizados como infraestrutura de comando e controle (C&C).
Impacto:
- Mais de 320 ataques: A Positive Technologies identificou mais de 320 ataques, principalmente na América Latina, mas com alcance global.
- Riscos aos Sistemas Corporativos: O roubo de dados confidenciais, como credenciais e informações financeiras, pode comprometer a segurança e a reputação das empresas.
Mitigação:
- Atualização do Office: Aplique a atualização do Microsoft Office que corrige a vulnerabilidade CVE-2017-11882.
- Conscientização do Usuário: Oriente os colaboradores sobre os riscos de emails e anexos suspeitos.
- Solução de Segurança Robusta: Implemente uma solução de segurança robusta com recursos de antivírus, anti-malware e firewall para detectar e bloquear ameaças.
- Monitoramento Contínuo: Monitore os sistemas de forma contínua para identificar atividades maliciosas.
Recomendações Adicionais:
- Análise de IoCs: Consulte a lista de indicadores de comprometimento (IoCs) do grupo TA558 para identificar possíveis infecções.
- Busca por Orientação Especializada: Em caso de suspeita de ataque, busque a orientação de especialistas em segurança cibernética para uma análise aprofundada e medidas de remediação adequadas.
Lembre-se: A segurança cibernética é um processo contínuo que exige atenção constante e medidas proativas para proteger seus sistemas e dados confidenciais.