Hackers do StrongPity atacam a Síria e a Turquia com spyware antigo - Anonymous Hacker

[Latest News][6]

Adobe
Análise de Vulnerabilidade
ANDROID
ANONYMOUS
Anti Vírus
ANTI-DDOS
ANTI-SPYWARES E ADWARES
Antivírus
APK PRO
APOSTILAS
apps
Ativador
CIÊNCIA
Compartilhadores
Computador pc
CURSO PHP
CURSO TCP / IP
CURSOS
Cursos Diversos
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
Desenvolvimento Web
DICAS
Diversos
DOCUMENTARIO
DoS
Editor de Áudio
Editor de Imagem
Editor de Texto
Editor de Vídeo
Engenharia
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
Fundamentos financeiros
Gravadores
Internet
INVASÕES
IPHONE
JOGOS
KALI LINUX
Limpeza e Utilitários
Lixão
MAC OS
macOS
Malware
Manutenção de Pcs
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Produtividade
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
Seo
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
tools
Utilitários
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Hackers do StrongPity atacam a Síria e a Turquia com spyware antigo

Pesquisadores de segurança cibernética descobriram hoje novos detalhes de ataques a bebedouros contra a comunidade curda na Síria e na Turquia para fins de vigilância e exfiltração de informações.


A ameaça persistente avançada por trás da operação, chamada StrongPity , foi reformulada com novas táticas para controlar máquinas comprometidas, disse a empresa de segurança cibernética Bitdefender em um relatório compartilhado.





"Usando táticas de watering hole para infectar seletivamente vítimas e implantando uma infraestrutura de C&C de três camadas para frustrar investigações forenses, o grupo APT utilizou ferramentas populares Trojanizadas, como arquivadores, aplicativos de recuperação de arquivos, aplicativos de conexões remotas, utilitários e até software de segurança, para abrangem uma ampla gama de opções que as vítimas-alvo podem estar buscando ", disseram os pesquisadores. Com os carimbos de data e hora das amostras de malware analisadas usadas na campanha coincidindo com a ofensiva turca no nordeste da Síria (codinome Operação Primavera da Paz ) em outubro passado, a Bitdefender disse que os ataques poderiam ter sido motivados politicamente.





Usando instaladores contaminados para eliminar o malware


O StrongPity (ou Promethium ) foi divulgado publicamente pela primeira vez em outubro de 2016, após ataques contra usuários na Bélgica e na Itália que usavam lacunas para fornecer versões maliciosas dos softwares de criptografia de arquivos WinRAR e TrueCrypt.

Desde então, o APT foi vinculado a uma operação de 2018 que abusou da rede da Türk Telekom para redirecionar centenas de usuários na Turquia e na Síria para versões maliciosas do StrongPity de software autêntico.



Assim, quando os usuários visados ​​tentam baixar um aplicativo legítimo no site oficial, um ataque de watering hole ou um redirecionamento HTTP são realizados para comprometer os sistemas.

Em julho passado, a AT&T Alien Labs encontrou evidências de uma nova campanha de spyware que explorava versões trojanizadas do software de gerenciamento de roteador WinBox e do arquivador de arquivos WinRAR para instalar o StrongPity e se comunicar com a infraestrutura adversária.

O novo método de ataque identificado pelo Bitdefender permanece o mesmo: vítimas-alvo na Turquia e na Síria usando lista de IP predefinida, aproveitando instaladores adulterados - incluindo McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp e CCleaner do Piriform - hospedados em agregados e compartilhadores de software localizados.

"Curiosamente, todos os arquivos investigados referentes aos aplicativos contaminados parecem ter sido compilados de segunda a sexta-feira, durante as 9 às 6 UTC + 2 horas de trabalho normais", disseram os pesquisadores. "Isso reforça a idéia de que o StrongPity poderia ser uma equipe de desenvolvedores patrocinada e organizada, paga para entregar certos 'projetos'."
Depois que o conta-gotas de malware é baixado e executado, o backdoor é instalado, o que estabelece comunicação com um servidor de comando e controle para a exfiltração de documentos. e para recuperar comandos a serem executados.



Ele também implementa um componente "Pesquisador de Arquivos" na máquina da vítima que percorre todas as unidades e procura por arquivos com extensões específicas (por exemplo, documentos do Microsoft Office) a serem exfiltrados na forma de um arquivo ZIP.

Esse arquivo ZIP é então dividido em vários arquivos criptografados ".sft" ocultos, enviados ao servidor C&C e, finalmente, excluídos do disco para cobrir qualquer faixa da exfiltração.

Expandindo além da Síria e da Turquia


Embora a Síria e a Turquia possam ser seus alvos recorrentes, o agente de ameaças por trás do StrongPity parece estar expandindo sua vitimologia para infectar usuários na Colômbia, Índia, Canadá e Vietnã usando versões contaminadas do Firefox, VPNpro, DriverPack e 5kPlayer.



Chamando-o de StrongPity3, os pesquisadores da Cisco Talos descreveram ontem um kit de ferramentas de malware em evolução que emprega um módulo chamado "winprint32.exe" para iniciar a pesquisa de documentos e transmitir os arquivos coletados. Além disso, o falso instalador do Firefox também verifica se o software antivírus ESET ou BitDefender está instalado antes de remover o malware.

"Essas características podem ser interpretadas como sinais de que esse ator de ameaça poderia de fato fazer parte de um serviço corporativo de operação de contratação", disseram os pesquisadores. "Acreditamos que isso tem como característica uma solução empacotada profissionalmente devido à semelhança entre cada parte do malware ser extremamente semelhante, mas usada em diferentes alvos com pequenas alterações".




Sobre Luiz Paulo

quando uma impressora desconhecida pegou uma galera do tipo e a mexeu para fazer um livro de espécimes do tipo. Ele sobreviveu não apenas cinco séculos.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search