NOTÍCIAS

[ANONYMOUS][grids]

Hackers atacam instituições financeiras e organizações governamentais com “Proyecto RAT”



Pesquisadores de segurança observaram uma nova campanha voltada para instituições financeiras e organizações governamentais com uma versão customizada de uma ferramenta de acesso remoto chamada “Proyecto RAT”.
A carga útil encontrada foi gravada no Visual Basic 6 e usa o serviço de endereço de e-mail descartável yopmail para sua comunicação C & C. O yopmail é conhecido por criar caixas de entrada temporárias.

Processo de Infecção

De acordo com o relatório da Trend Micro, o ataque atinge principalmente as organizações na região da América do Sul, particularmente na Colômbia. A infecção começa com um email personalizado enviado para o alvo de servidores de email abertos ou comprometidos na região da América do Sul.
O email contém um arquivo de anexo RTF e contém assuntos tentadores
  • "Loosely se refere a um processo contra sua violência trabalhista." (Loosely traduz a "Nós movemos um processo contra você por violência no local de trabalho.")
  • "Se você tem um embargo à (s) cuenta (s) Bancarias." (Loosely significa "Suas contas bancárias serão bloqueadas").
  • "Almacenes exito te obsequia una tarjeta regalo virtual por valor de $ 500.000." (Loosely traduz a "lojas Exito oferecer-lhe um presente virtual no valor de $ 500.000.")
O anexo contém links curtos que direcionam as vítimas para serviços de compartilhamento de arquivos, o arquivo de entrega é um arquivo MHTML habilitado para macro. O macrocódigo é responsável por baixar e executar a carga do primeiro estágio Iminent Monitor RAT.
Como o nome indica, ele monitora todas as atividades da rede e inclui informações para executar a carga útil do segundo estágio. O RAT Monitor Iminente suporta uma ampla gama de atividades de monitoramento que incluem espionagem em teclados, transferência de arquivos, capturas de tela e gravação de feeds de áudio.

Carga Horária do Segundo Estágio - Proyecto RAT

O segundo estágio da carga útil é o “Proyecto RAT”, que usa um serviço de e-mail yopmail descartável para comunicação C & C.
Baseado no relatório de análise da Trend Micro , “o malware se conecta a uma caixa de correio, lê a única mensagem de email disponível, analisa e extrai o assunto do email. A URL do servidor C & C está entre os caracteres '¡', um caractere usado no idioma espanhol e caixas de e-mail em árvore foi usado. ”
Os pesquisadores acreditam que o “Proyecto RAT” “é uma versão antiga e limitada do Xpert RAT - seja uma modificação personalizada do Xpert RAT ou um malware com código-fonte baseado no Xpert RAT”.
Os ataques que visam a América do Sul e a Colômbia são o país mais visado, seguidos pela campanha, as campanhas recentes pareciam direcionar entidades governamentais, instituições farmacêuticas / de saúde, agroindústrias / organizações de alimentos / embalagens.