admin 
[ad_1]
Um afiliado de ransomware LockBit 3.0 está usando e-mails de phishing que instalam o Amadey Bot para assumir o controle de um dispositivo e criptografar dispositivos.
De acordo com um novo relatório do AhnLab, o agente da ameaça tem como alvo empresas que usam e-mails de phishing com iscas que fingem ser ofertas de emprego ou avisos de violação de direitos autorais.
A carga útil do LockBit 3.0 usada neste ataque é baixada como um script ofuscado do PowerShell ou um formulário executável, executado no host para criptografar arquivos.
Atividade do Amadey Bot
O malware Amadey Bot é uma linhagem antiga capaz de realizar reconhecimento de sistema, exfiltração de dados e carregamento de carga útil.
Pesquisadores coreanos do AhnLab notaram um aumento na atividade do Amadey Bot em 2022 e relataram encontrar uma nova versão do malware em julho, descartada via SmokeLoader.
A versão mais recente adicionou recursos de detecção de antivírus e prevenção automática, tornando as invasões e a queda de cargas úteis mais furtivas.
Na campanha de julho, Amadey descartou vários malwares que roubam informações, como o RedLine, mas a campanha mais recente carrega uma carga útil do LockBit 3.0.
Cadeias de infecção
Os pesquisadores do AhnLab notaram duas cadeias de distribuição distintas, uma baseada em uma macro VBA dentro de um documento do Word e outra disfarçando o executável malicioso como um arquivo do Word.
No primeiro caso, o usuário deve clicar no botão “Enable Content” para executar a macro, que cria um arquivo LNK e o armazena em “C:\Users\Public\skem.lnk”. Este arquivo é um downloader para Amadey.
O segundo caso, visto no final de outubro, usa anexos de e-mail com um arquivo chamado “Resume.exe” (Amadey) que usa um ícone de documento do Word, enganando os destinatários a clicar duas vezes.
Ambos os caminhos de distribuição levam a infecções Amadey que usam o mesmo endereço de comando e controle (C2), portanto, é seguro assumir que o operador é o mesmo.
Amadey para LockBit 3.0
Na primeira inicialização, o malware se copia para o diretório TEMP e cria uma tarefa agendada para estabelecer a persistência entre as reinicializações do sistema.
Em seguida, o Amadey se conecta ao C2, envia um relatório de perfil do host e aguarda a recepção dos comandos.
Os três comandos possíveis do servidor C2 ordenam o download e a execução do LockBit, no formato PowerShell (‘cc.ps1’ ou ‘dd.ps1’), ou no formato exe (‘LBB.exe’).
As cargas úteis são novamente descartadas em TEMP como uma das três seguintes:
- %TEMP%\1000018041\dd.ps1
- %TEMP%\1000019041\cc.ps1
- %TEMP%\1000020001\LBB.exe
A partir daí, o LockBit criptografa os arquivos do usuário e gera notas de resgate exigindo pagamento, ameaçando publicar arquivos roubados no site de extorsão do grupo.
.png)
Em setembro de 2022, o AnhLab observou outros dois métodos de distribuição do LockBit 3.0, um usando documentos DOTM com macro VBA maliciosa e outro descartando arquivos ZIP contendo o malware no formato NSIS.
Anteriormente, em junho de 2022, o LockBit 2.0 foi distribuído por meio de e-mails falsos de violação de direitos autorais, descartando os instaladores do NSIS, então tudo parece ser a evolução da mesma campanha.
[ad_2]
Source link
