Esses três carregadores estiveram por trás de 80% das invasões este ano • The Register

Aug 04, 2023

Três carregadores de malware – QBot, SocGholish e Raspberry Robin – são responsáveis ​​por 80% dos ataques observados em computadores e redes até agora neste ano.

A loja de segurança ReliaQuest informou na sexta-feira que os principais inimigos que devem ser detectados e bloqueados pelas defesas de TI são o QBot (também conhecido como QakBot, QuackBot e Pinkslipbot), o carregador mais observado entre 1º de janeiro e 31 de julho, responsável por 30% das intrusões. tentativas registradas. SocGholish ficou em segundo lugar com 27 por cento, e Raspberry Robin ficou com 23 por cento. Os outros sete carregadores da linha estão muito atrás dos três líderes: Gootloader com 3% e Guloader, Chromeloader e Ursnif com 2%.

Como o nome sugere, os carregadores são um estágio intermediário de uma infecção por malware. O carregador é executado no computador da vítima, por exemplo, por um malfeitor que explora alguma vulnerabilidade ou simplesmente envia um email com um anexo malicioso para abrir. Quando o carregador está em execução, ele geralmente protege sua posição no sistema, tomando medidas para manter a persistência e buscando a principal carga de malware para execução, que pode ser um ransomware, um backdoor ou algo parecido.

Isso dá às equipes alguma flexibilidade pós-intrusão e também ajuda a ocultar eventuais softwares maliciosos implantados em uma máquina. Ser capaz de detectar e parar um carregador pode impedir uma infecção significativa por malware em sua organização.

No entanto, esses carregadores causam enxaquecas para as equipes de segurança, porque, como apontou ReliaQuest, “a mitigação para um carregador pode não funcionar para outro, mesmo que carregue o mesmo malware”.

De acordo com a análise, o QBot, que a ReliaQuest descreve como “o ágil”, é o trojan bancário de 16 anos que desde então evoluiu para entregar ransomware, roubar dados confidenciais, permitir movimento lateral através dos ambientes das organizações e implantar código remoto. software de execução.

Em junho, o grupo de inteligência de ameaças Black Lotus Labs da Lumen descobriu o carregador usando novos métodos de entrega de malware e infraestrutura de comando e controle, com um quarto dos usados ​​permanecendo ativos por apenas um dia. Esta evolução foi provavelmente uma resposta à decisão da Microsoft no ano passado de bloquear macros provenientes da Internet por padrão para usuários do Office, de acordo com pesquisadores de segurança.

“A agilidade do QakBot ficou evidente na resposta de seus operadores ao Mark of the Web (MOTW) da Microsoft: eles mudaram as táticas de entrega, optando por usar o contrabando de HTML”, disse ReliaQuest. “Em outros casos, os operadores do QakBot experimentaram tipos de arquivos para suas cargas, para evitar medidas de mitigação.”

Isso inclui o uso de arquivos maliciosos do OneNote em seus e-mails de phishing, como foi o caso em uma campanha de fevereiro de 2023 dirigida a organizações dos EUA.

O carregador número dois, SocGholish, é um pedaço de código baseado em JavaScript direcionado ao Windows. Ele está vinculado à Evil Corp da Rússia e à corretora de acesso inicial Exotic Lily, que invade redes corporativas e depois vende esse acesso a outros criminosos.

O SocGholish geralmente é implantado por meio de campanhas de engenharia social e de comprometimento drive-by, apresentando-se como uma atualização falsa que, quando baixada, coloca o código malicioso no dispositivo da vítima. A certa altura, a Exotic Lily enviava mais de 5.000 e-mails por dia para cerca de 650 organizações globais visadas, de acordo com o Grupo de Análise de Ameaças do Google.

No outono passado, um grupo criminoso rastreado como TA569 comprometeu mais de 250 sites de jornais dos EUA e depois usou esse acesso para fornecer malware SocGholish aos leitores das publicações através de anúncios e vídeos maliciosos baseados em JavaScript.

Mais recentemente, no primeiro semestre de 2023, a ReliaQuest rastreou operadores SocGholish realizando “ataques agressivos de watering hole”.

“Eles comprometeram e infectaram sites de grandes organizações envolvidas em operações comerciais comuns com potencial lucrativo”, disseram os pesquisadores de ameaças. “Visitantes desavisados ​​inevitavelmente baixaram a carga útil do SocGholish, levando a infecções generalizadas.”

Completando os três primeiros está o Raspberry Robin, que também tem como alvo sistemas Windows e evoluiu de um worm que se espalha por meio de unidades USB.