Formbook e Snake Keylogger Distribuídos Massivamente Via Email Usando os Malware RelicRace e RelicSource

[post-views]
Julho 26, 2022 · 5 min de leitura
Formbook e Snake Keylogger Distribuídos Massivamente Via Email Usando os Malware RelicRace e RelicSource

Ataques de roubo de informações que aproveitam o vetor de ataque de e-mail de phishing contra organizações ucranianas estão atualmente em ascensão, como a campanha maliciosa há menos de uma semana que espalha spyware AgentTesla e tem como alvo órgãos estatais ucranianos. Em 25 de julho de 2022, o CERT-UA lançou um novo aviso alertando a comunidade global de defensores cibernéticos sobre uma campanha de e-mail em andamento voltada para a distribuição em massa dos carregamentos maliciosos Formbook e Snake Keylogger, que são usados para roubar dados confidenciais. Neste último ataque cibernético, agentes de ameaça aproveitam o assunto relacionado financeiramente do e-mail e o anexo de arquivo malicioso com o mesmo nome como iscas para enganar as vítimas em potencial a abrir o conteúdo do e-mail. Os atacantes entregam amostras de malware usando os downloaders maliciosos baseados em .NET identificados como RelicRace e RelicSource. De acordo com a pesquisa, a atividade maliciosa pode ser atribuída aos padrões de comportamento do coletivo de hackers UAC-0041 .

Entrega de Formbook & Snake Keylogger: Análise do Ataque Cibernético

O último ataque cibernético coberto no alerta CERT-UA#5056 está ligado à atividade dos atores de ameaça UAC-0041 que anteriormente foram atribuídos à campanha maliciosa na primavera de 2022 espalhando IcedID Trojan, o notório malware de roubo de informações. Notavelmente, o mesmo grupo de hackers também foi associado à entrega de amostras de malware AgentTesla e XLoader em campanhas maliciosas anteriores que tinham como alvo organizações ucranianas. 

Na campanha de phishing em andamento que está em destaque desde 19 de julho de 2022, os agentes de ameaça distribuem em massa e-mails com anexos maliciosos no formato de arquivo compactado TGZ. Este arquivo TGZ contém um arquivo executável identificado como um downloader baseado em .NET RelicRace, que é usado para baixar e lançar o infame malware RelicSource nos sistemas comprometidos. Este último é o software de instalação de malware capaz de decodificar dados armazenados em vários formatos de criptografia, incluindo XOR, DES, AES, etc., e posteriormente injetar e lançar os carregamentos de Formbook e Snake Keylogger. O malware aplica técnicas sofisticadas de persistência e anti-análise para escapar da detecção, dificultando que os defensores cibernéticos identifiquem a infecção a tempo. 

De acordo com os laboratórios FortiGuard da Fortinet, o notório Snake Keylogger distribuído em massa no ataque cibernético em andamento contra a Ucrânia é um malware baseado em .NET que foi visto pela primeira vez no cenário de ameaças cibernéticas no final de 2020. O malware é projetado para roubar dados confidenciais, como credenciais de usuários, teclas digitadas, capturas de tela e dados da área de transferência. Em julho de 2021, o Snake Keylogger estava entre as 10 famílias de malware mais populares, impactando mais usuários comprometidos globalmente. 

Outro carregamento espalhado neste último ataque cibernético coberto pela pesquisa do CERT-UA, chamado Formbook, também pertence às amostras de malware de roubo de informações mais prevalentes, ultrapassando até mesmo o infame Trickbot Trojan bancário. Formbook está presente no cenário de ameaças cibernéticas desde 2016 como malware destinado a roubar credenciais de vários navegadores da web, monitorar e registrar teclas digitadas, baixar e executar arquivos via servidor C&C. 

Detectando Atividade UAC-0041: Regras Sigma para Identificar a Última Onda de Infecções Formbook e Snake Keylogger

Para ajudar os profissionais de segurança a detectar proativamente as intrusões associadas aos últimos ataques UAC-0041 contra a Ucrânia, a plataforma Detection as Code da SOC Prime fornece um conjunto de regras Sigmacuradas. Para uma busca de conteúdo simplificada, todo o conteúdo de detecção é marcado com ‘CERT-UA#5056’ com base na visão geral da campanha detalhada no alerta CERT-UA#5056. 

Regras Sigma para Detectar Detalhes da Campanha Formbook e Snake Keylogger no CERT-UA#5056

Para revisar a lista completa de regras de detecção e consultas de caça cobrindo a atividade maliciosa UAC-0041, clique no botão Detect & Hunt abaixo. Além disso, você pode navegar no mecanismo de busca de ameaças cibernéticas da SOC Prime para aprofundar-se nas regras Sigma destinadas à detecção do UAC-0041, além de acessar metadados contextuais extensivos, como referências MITRE ATT&CK® e CTI, descrições CVE e mais.

Detect & Hunt Explore Contexto de Ameaça

Contexto MITRE ATT&CK®

Para obter insights sobre o contexto dos ataques cibernéticos UAC-0041 visando a distribuição de Formbook e Snake Keylogger, as regras Sigma acima mencionadas estão alinhadas com o framework MITRE ATT&CK® abordando as correspondentes táticas e técnicas:

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware 8 min de leitura Ameaças Mais Recentes CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware by Veronika Telychko
Todas as notícias