A ISH Tecnologia revela por meio de seu boletim informativo de Treath Intelligence, Heimdall, que a Microsoft identificou um grupo norte-coreano por trás do novo ransomware FakePenny. O agente malicioso, denominado Moonstone Sleet, é caracterizado por criar empresas e oportunidades fictícias de emprego para se aproximar de seus alvos e distribuir esse software malicioso inédito, devido as mutações. Os cibercriminosos, que fazem parte dessa organização mal-intencionada, utilizam esse malware para alcançar seus objetivos econômicos e praticar espionagem digital.
Com o desenvolvimento tecnológico nos últimos tempos, a organização cibercriminosa se consolidou no cenário digital como uma das principais ameaças que fazem o uso de ransomware. O Moonstone Sleet utiliza técnicas amplamente testadas por outros grupos norte-americanos, além de metodologias de ataques exclusivas.
Quando a Microsoft identificou as operações maliciosas do Moonstone Sleet, o grupo inicialmente fazia uso de técnicas utilizadas por antigos agentes mal-intencionados de ransomware, como o Diamond Sleet. Posteriormente, os cibercriminosos aprimoram essas táticas de disseminação dos softwares negativos, em busca de objetivos financeiros e ciberespionagem. As operações dos norte-coreanos incluem a criação de jogos fictícios e malwares personalizados, a fim de atrair a atenção de profissionais de TI para um "possível recrutamento".
A Microsoft identificou que o grupo distribui uma versão trojanizada do PuTTY, um emulador de terminal de código aberto, por meio de aplicativos como LinkedIn, Telegram e plataformas de freelancers. O método usado pelo grupo envolve envios de arquivos .zip para os alvos. Esses fichários contêm dois arquivos: uma versão comprometida do putty.exe e um arquivo url.txt com um endereço IP e uma senha. Quando o usuário inseria o IP e a senha no aplicativo PuTTY, este descriptografava e executava uma carga útil embutida.
De acordo com os estudos da Microsoft, a execução desse trojan descarta um instalador personalizado que inicia a execução de uma série de estágios de malware:
Estágio 1 – PuTTY Trojanizado: Descriptografa, descompacta e executa a carga útil incorporada do estágio 2
Estágio 2 – Instalador/Dropper SplitLoader: Descriptografa, descompacta e grava a carga útil do estágio 3, o arquivo DLL SplitLoader, no disco. O instalador também grava dois arquivos criptografados no disco e, em seguida, executa o SplitLoader por meio de uma tarefa agendada ou chave de execução do registro.
Estágio 3 – SplitLoader: Descriptografa e descompacta os dois arquivos criptografados descartados pela carga útil do estágio 2, combinando-os para criar o próximo estágio, um novo arquivo executável portátil (PE).
Estágio 4 – Carregador de Trojan: Aguarda um arquivo PE compactado e criptografado do C2. Quando o arquivo é recebido, o carregador de trojan o descompacta, descriptografa e executa.
No mês de abril de 2024, a Microsoft observou atividades dos cibercriminosos que faziam o uso de uma novo ransomware, o FakePenny. O malware em questão, que é uma nova variante de software malicioso, possui as funções de criptografia e carregador. A empresa de tecnologia acredita que o uso desse software malicioso está voltado tanto para coleta de inteligência quanto para geração de receita.
Os setores alvo até a data incluem indivíduos e organizações de: software e tecnologia da informação, educação e sectores de base industrial de defesa. Diante desse cenário a ISH Tecnologia elencou dicas e recomendações a fim de combater essas práticas cibercriminosas:
Segurança em software de terceiros – Verifique a integridade dos instaladores de software de terceiros e valide a origem dos certificados de assinatura de código. Realize verificações regulares para garantir que os softwares não foram adulterados com código malicioso.
Treinamento e conscientização – Realize treinamentos regulares de conscientização de segurança para todos os funcionários, focando em métodos de entrega comuns como spear phishing e compromissos drive-by, que são frequentemente utilizados por este grupo
Atualizações e patches – Aplique regularmente patches de segurança e atualizações de software para corrigir vulnerabilidades conhecidas que podem ser exploradas por atacantes, incluindo aquelas que permitem elevação de privilégio e execução remota de código.
Utilizar ferramentas de segurança robustas – Investigação e remediação automatizadas: Habilite a investigação e remediação em modo totalmente automatizado no Microsoft Defender for Endpoint para permitir ações imediatas em alertas e resolver brechas de segurança de forma eficaz.
