O grupo cibercriminoso por trás da infame campanha de malware DNSpionage foi encontrado executando uma nova operação sofisticada que infecta vítimas selecionadas com uma nova variante do malware DNSpionage.
Descoberto pela primeira vez em novembro do ano passado, os ataques DNSpionage usaram sites comprometidos e criaram documentos maliciosos para infectar os computadores das vítimas com o DNSpionage - uma ferramenta administrativa remota personalizada que usa comunicação HTTP e DNS para se comunicar com o servidor de comando e controle controlado pelo invasor.
De acordo com um novo relatóriopublicado pela equipe de pesquisa de ameaças Talos da Cisco, o grupo adotou algumas novas táticas, técnicas e procedimentos para melhorar a eficácia de suas operações, tornando seus ataques cibernéticos mais direcionados, organizados e sofisticados por natureza. Ao contrário das campanhas anteriores, os invasores agora começaram a realizar o reconhecimento de suas vítimas antes de infectá-las com um novo malware, apelidado de Karkoff , permitindo que eles escolhessem seletivamente quais alvos infectar para não serem detectados. "Identificamos sobreposições de infra-estrutura nos casos de DNSpionage e Karkoff", dizem os pesquisadores. Durante a fase de Reconhecimento, os invasores coletam informações do sistema relacionadas ao ambiente da estação de trabalho, sistema operacional, domínio e lista de processos em execução na vítima.
Descoberto pela primeira vez em novembro do ano passado, os ataques DNSpionage usaram sites comprometidos e criaram documentos maliciosos para infectar os computadores das vítimas com o DNSpionage - uma ferramenta administrativa remota personalizada que usa comunicação HTTP e DNS para se comunicar com o servidor de comando e controle controlado pelo invasor.
De acordo com um novo relatóriopublicado pela equipe de pesquisa de ameaças Talos da Cisco, o grupo adotou algumas novas táticas, técnicas e procedimentos para melhorar a eficácia de suas operações, tornando seus ataques cibernéticos mais direcionados, organizados e sofisticados por natureza. Ao contrário das campanhas anteriores, os invasores agora começaram a realizar o reconhecimento de suas vítimas antes de infectá-las com um novo malware, apelidado de Karkoff , permitindo que eles escolhessem seletivamente quais alvos infectar para não serem detectados. "Identificamos sobreposições de infra-estrutura nos casos de DNSpionage e Karkoff", dizem os pesquisadores. Durante a fase de Reconhecimento, os invasores coletam informações do sistema relacionadas ao ambiente da estação de trabalho, sistema operacional, domínio e lista de processos em execução na vítima.
"O malware procura por duas plataformas antivírus específicas: Avira e Avast. Se um desses produtos de segurança estiver instalado no sistema e identificado durante a fase de reconhecimento, um sinalizador específico será definido e algumas opções do arquivo de configuração serão ignorado ", dizem os pesquisadores.
Desenvolvido em .NET, o Karkoff permite que atacantes executem código arbitrário em hosts comprometidos remotamente de seu servidor C & C. O Cisco Talos identificou Karkoff como malware não documentado no início deste mês.
O interessante é que o malware Karkoff gera um arquivo de log nos sistemas das vítimas, que contém uma lista de todos os comandos que ele executou com um timestamp.
Leia Também: Código-Fonte Do Malware CARBANAK Encontrado Em VirusTotal
"Esse arquivo de log pode ser facilmente usado para criar uma linha do tempo da execução do comando, o que pode ser extremamente útil ao responder a esse tipo de ameaça", explicam os pesquisadores.
"Com isso em mente, uma organização comprometida com esse malware teria a oportunidade de revisar o arquivo de log e identificar os comandos executados contra eles."
Como na última campanha de DNSpionage, os ataques recentemente descobertos também têm como alvo a região do Oriente Médio, incluindo o Líbano e os Emirados Árabes Unidos (EAU).
Além de desabilitar macros e usar um software antivírus confiável, você deve ficar mais atento e manter-se informado sobre as técnicas de engenharia social, a fim de reduzir o risco de se tornar uma vítima de tais ataques.
Devido a vários relatos públicos de ataques de seqüestro de DNS , o Departamento de Segurança Interna dos EUA emitiu uma " diretriz de emergência " para todas as agências federais que ordenam a equipe de TI a auditar registros de DNS para seus respectivos domínios de sites ou outros gerenciados por agências. domínios.
