Salte para o conteúdo principal
INTELLIGENCE DIGEST

O regresso da famosa campanha de ameaças Qakbot

As tácticas anteriores do Trojan QakBot desmantelado alimentam agora campanhas de phishing de grande alcance

Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem

13 de dezembro de 2023 7 Minute Read

Lembra-se da ameaça cibernética QakBot (também conhecida como Qbot ou Pinkslipbot)? Esta ameaça foi eliminada como parte de um esforço coordenado de aplicação da lei em agosto de 2023 - e está a regressar!

Os maus actores estão a usar os seus velhos truques numa nova campanha de phishing dirigida a uma variedade de indústrias. Estão a enviar e-mails enganadores que parecem ser conversas em curso e que contêm ligações perigosas. Clicar nessas ligações leva a um ficheiro que pode instalar malware como o DarkGate ou o PikaBot no seu sistema. (Figura 1)

Uma vez infectados, estes programas maliciosos podem causar sérios danos. Muitas vezes, pedem o resgate dos seus dados ou utilizam malware de criptomineração sorrateiro que usa os recursos de computação de um dispositivo para minerar criptomoedas. Os atacantes ganham controlo sobre os seus sistemas com a intenção de roubar informações ou realizar outras acções prejudiciais. As ligações estabelecidas pelos agentes da ameaça são bidireccionais: os atacantes podem enviar comandos e receber respostas em tempo real, o que lhes permite explorar o(s) sistema(s) da vítima, roubar dados e realizar outras acções prejudiciais.

O PikaBot, uma nova e sofisticada variante de malware baseada no QakBot, é particularmente difícil de analisar e dá aos atacantes mais controlo.

O DarkGate, descoberto pela primeira vez em 2017, também ressurgiu. Tornou-se mais amplamente disponível nas comunidades de hackers em 2023, levando a um aumento acentuado na sua utilização e distribuição. Esta estirpe de malware tira partido das mensagens do Microsoft Teams para espalhar anexos nocivos que instalam o malware DarkGate. Os investigadores detectaram mensagens de phishing no Microsoft Teams, provenientes de duas contas externas comprometidas do Microsoft 365. Estas contas foram utilizadas para enganar os utilizadores do Microsoft Teams em diferentes organizações, levando-os a descarregar um ficheiro ZIP com o nome "Changes to the vacation schedule". Ao clicar neste anexo, o processo de download era iniciado a partir de um URL do SharePoint, ocultando um ficheiro LNK como um documento PDF.

Porque é que estes incidentes ocorrem?

O DarkGate e o PikaBot são estirpes de malware versáteis que não visam especificamente uma indústria, pelo que representam uma ameaça em vários sectores. O DarkGate e o PikaBot têm como objetivo infiltrar-se nos sistemas de forma indiscriminada, procurando vulnerabilidades para explorar. A sua natureza modular permite aos atacantes realizar actividades como o roubo de dados, o acesso remoto, a extração de moeda criptográfica e outras acções maliciosas num vasto espetro de indústrias. A sua adaptabilidade permite que os hackers os utilizem em diversos ciberataques, afectando potencialmente sectores como o financeiro, a saúde, a educação, a administração pública, a indústria transformadora e outros. Por conseguinte, todos os sectores necessitam de medidas robustas de cibersegurança para se protegerem contra estas ameaças em evolução.

O phishing é um corretor de acesso inicial muito bem sucedido para os operadores de malware DarkGate e PikaBot. Quando a vítima cede ao clicar na ligação de phishing num e-mail, esta actua como a porta de entrada principal para os agentes de ameaças obterem acesso. Estas técnicas continuam a ser eficazes para os atacantes por várias razões:

  1. Técnicas enganadoras: Estas estirpes de malware empregam frequentemente tácticas de phishing sofisticadas, como o envio de e-mails que parecem legítimos ou até imitam conversas em curso, enganando os utilizadores para que confiem no conteúdo.
  2. Exploração de vulnerabilidades humanas: O phishing baseia-se nas emoções humanas, como a curiosidade ou a urgência, para levar à ação. As mensagens de correio eletrónico induzem os destinatários a clicar em ligações ou a descarregar anexos, fazendo-se passar por mensagens urgentes ou importantes.
  3. Engenharia social: Esta técnica manipula a confiança dos utilizadores em plataformas ou indivíduos conhecidos, tornando mais difícil reconhecer intenções maliciosas.
    Diversos vectores de ataque: Estas estirpes de malware utilizam vários pontos de entrada, como anexos de correio eletrónico ou ligações, explorando vulnerabilidades em sistemas ou software. Esta abordagem multifacetada aumenta as hipóteses de sucesso.
  4. Adaptabilidade: O QakBot, o DarkGate e o PikaBot evoluem constantemente, adaptando as suas estratégias de phishing para contornar as medidas de segurança, o que os torna mais difíceis de detetar e mitigar.
  5. Distribuição automatizada: Estas ameaças podem espalhar-se rapidamente, tirando partido de sistemas automatizados para enviar e-mails de phishing em grande escala, aumentando a probabilidade de alguém ser vítima das suas tácticas.

O que é que pode fazer?

A sensibilização e a educação dos utilizadores podem ser extremamente eficazes para impedir ataques de phishing como estes, uma vez que os agentes de ameaças dependem em grande medida desse primeiro clique para lhes abrir as portas.

A realidade, porém, é que as vulnerabilidades humanas, aliadas a tácticas enganosas por parte dos agentes de ameaças, tendem a levar a que se clique nessa ligação URL. As tácticas de phishing estão em constante evolução e a tornar-se mais sofisticadas. Os atacantes empregam várias tácticas, como a engenharia social, para criar réplicas convincentes de e-mails legítimos, tornando mais difícil a diferenciação pelas medidas de segurança tradicionais.

Por este motivo, o remote browser isolation (RBI) é eficaz contra ataques de phishing que envolvem clicar em URLs porque executa sessões de navegação fora do dispositivo local, isolando potenciais ameaças num ambiente controlado. Veja por que razão é eficaz:

  1. Isola a execução: Quando um utilizador clica num URL, a sessão de navegação tem lugar num ambiente remoto. Isto impede que qualquer potencial malware ou ameaça atinja diretamente o dispositivo do utilizador, uma vez que a atividade de navegação é separada do sistema local.
  2. Limita a exposição: Ao isolar a sessão de navegação - mesmo que o URL conduza a um site malicioso - qualquer malware ou conteúdo nocivo encontrado permanece isolado no ambiente remoto. Não tem acesso direto ao dispositivo ou à rede do utilizador.
  3. Evita a infeção do dispositivo: Uma vez que a navegação ocorre num ambiente isolado, qualquer malware encontrado durante a sessão de navegação não tem oportunidade de infetar o dispositivo do utilizador ou comprometer dados sensíveis.
  4. Reduz a superfície de ataque: Remote browser isolation minimiza a superfície de ataque ao garantir que o conteúdo da Web potencialmente perigoso nunca é carregado no dispositivo do utilizador, atenuando os riscos associados a URLs de phishing.
  5. Melhora a postura de segurança: Acrescenta uma camada extra de segurança ao separar a interação do utilizador com conteúdo Web potencialmente arriscado do dispositivo e da rede locais, reduzindo as hipóteses de ataques de phishing bem sucedidos.

O portefólio Skyhigh Security Service Edge (SSE) inclui o Risky Web RBI por predefinição. Protege os utilizadores de websites de risco, redireccionando os pedidos de navegação para o serviço RBI. A tecnologia RBI integra-se na plataforma Skyhigh Security , fornecendo uma proteção robusta contra ameaças de ransomware e phishing, ao mesmo tempo que simplifica a adoção de uma arquitetura de confiança zero.

Além disso, a função RBI completa, disponível em separado, pode direcionar tráfego específico para sessões RBI, garantindo medidas de segurança ainda mais fortes. Skyhigh SecurityA abordagem da Microsoft ao RBI envolve a canalização do tráfego Web através de proxies na nuvem para isolar a navegação potencialmente arriscada. Isto assegura uma proteção abrangente através de data loss prevention (DLP) e de políticas anti-malware. Quando um utilizador clica num URL de phishing, normalmente redirecciona a vítima para uma página onde estão alojados payloads para descarregar os ficheiros do atacante. É por isso que é necessária uma análise de ameaças suficiente para evitar a infeção inicial do dispositivo.

Skyhigh SecurityO mecanismo anti-malware de gateway (GAM) da Microsoft emprega análise proativa de intenção para filtrar conteúdo malicioso da Web em tempo real sem depender de assinaturas. Detecta conteúdos maliciosos executáveis e não executáveis através da simulação do comportamento, da compreensão do comportamento e da previsão da intenção do código, combatendo eficazmente os ataques de dia zero e os ataques direccionados. O mecanismo também monitora os comportamentos de acesso à Web do cliente, identificando programas potencialmente indesejados (PUPs) e colocando em quarentena as estações de trabalho comprometidas.

O GAM é adepto da deteção do comportamento do código em vários formatos, como executáveis do Microsoft Windows, JavaScript, Flash ActionScript, Java, controlos ActiveX e muito mais. Por exemplo, pode identificar intenções maliciosas num Visual Basic Script ofuscado dentro de um documento Word e impedir que o documento seja transferido.

Embora os mecanismos anti-malware tradicionais baseados em assinaturas e heurísticos estejam incluídos, as principais capacidades de deteção de malware desconhecido baseiam-se no GAM, que utiliza a aprendizagem automática e a emulação em tempo real. Inclui três capacidades heurísticas:

  1. Heurística de comportamento estático para bloquear comportamentos suspeitos em novas amostras de código.
  2. Heurística estrutural que liga variantes de malware modificadas a famílias de malware conhecidas.
  3. Heurística do comportamento da rede, que identifica sistemas de clientes potencialmente infectados que apresentam padrões suspeitos de acesso à Internet.

Utilize Skyhigh Security?

Rodman Ramezanian

Sobre o autor

Rodman Ramezanian

Líder global de ameaças à nuvem

Com mais de 11 anos de vasta experiência no sector da cibersegurança, Rodman Ramezanian é Consultor de Segurança na Nuvem Empresarial, responsável pelo aconselhamento técnico, capacitação, conceção de soluções e arquitetura em Skyhigh Security. Nesta função, Rodman concentra-se principalmente em organizações do governo federal australiano, de defesa e empresariais.

Rodman é especialista nas áreas de Adversarial Threat Intelligence, Cibercrime, Proteção de Dados e Segurança na Nuvem. É um avaliador IRAP aprovado pela Direção de Sinais Australiana (ASD) e possui atualmente as certificações CISSP, CCSP, CISA, CDPSE, Microsoft Azure e MITRE ATT&CK CTI.

Com sinceridade, Rodman tem uma forte paixão por articular assuntos complexos em termos simples, ajudando o cidadão comum e os novos profissionais de segurança a compreender o quê, porquê e como da cibersegurança.

Destaques do ataque

  • Os agentes da ameaça iniciam o ataque enviando e-mails de phishing utilizando conversas de e-mail comprometidas que parecem ser uma resposta ou reencaminhando uma conversa roubada, tornando mais provável que os destinatários confiem nela e, em seguida, induzindo-os a clicar num URL malicioso.
  • Estas mensagens de correio eletrónico roubadas são provavelmente adquiridas através de ataques Microsoft ProxyLogon (CVE-2021-26855). Esta vulnerabilidade no Microsoft Exchange Server permite aos atacantes evitarem a autenticação e fingirem ser administradores da conta subjacente.
  • Este URL tem vários níveis, garantindo que apenas utilizadores específicos que satisfaçam critérios definidos (como localização e browser) podem aceder ao software nocivo para verificar se são alvos válidos.
  • Clicar no URL leva ao descarregamento de um ficheiro ZIP que aloja um ficheiro JavaScript conhecido como JavaScript Dropper. Este é posteriormente utilizado para descarregar e executar ficheiros executáveis portáteis (PE) infectados, bem como ficheiros DLL maliciosos.
  • O programa JavaScript Dropper liga-se a outro URL para ir buscar e ativar malware com a ajuda de descarregadores de Visual Basic Script (VBS) capazes de executar malware através de ficheiros .vbs tipicamente encontrados em documentos do Microsoft Office ou iniciando programas de linha de comandos, descarregadores LNK que utilizam indevidamente ficheiros de atalho da Microsoft (.lnk) e carregadores Excel DNA utilizados para criar ficheiros XLL para outras tarefas de exploração. Um ficheiro XLL, normalmente utilizado como um suplemento do Microsoft Excel para fins de trabalho legítimo, é manipulado por agentes de ameaças. Estes ajustaram estes add-ons para aceder a locais específicos e descarregar cargas úteis nocivas.
  • Neste ponto, a vítima é infetada com sucesso pelas estirpes de malware DarkGate ou PikaBot, permitindo outras acções prejudiciais, tais como a entrega e instalação de software avançado de criptomineração, ferramentas de reconhecimento, cargas úteis de ransomware e muito mais.