Novo Malware ResolverRAT Sophisticado que atinge setores de saúde e farmacêuticos

Imagem da matéria
Fonte da imagem: techradar.com

Um novo Trovão de Acesso Remoto (RAT) chamado ResolverRAT está causando problemas em todo o mundo para empresas do setor de saúde e farmácia. Os cientistas da cybersegurança Morphisec Labs descobriram isso, que é um RAT com técnicas de obfuscação e evasão de stealth avançadas, mas sua distribuição é bastante ordinária.

O ataque começa com o email de phishing típico, assustando a vítima para que ela tome uma decisão imprudente e arriscada. Os atacantes localizam os emails em um esforço para melhorar as taxas de infecção, mas estão ainda lançando uma rede relativamente ampla. Com isso em mente, os pesquisadores encontraram emails phishing em hindi, italiano, tcheco, turco, português e indonésio.

O anexo é distribuído via arquivos DLL laterais que, se ativados, deixam uma carga útil maliciosa ser implantada diretamente na memória do computador. No entanto, isso não é o método mais comum por que ResolverRAT tenta ficar fora da detecção. Usando tanto criptografia quanto compressão, ele vai ainda mais longe para persistir nos pontos de extremidade do alvo.

"A sequência inicial do ResolverRAT revela um processo multistágio engenheirado para furtividade e resiliência", disse os pesquisadores, acrescentando que "implementa múltiplas redundância de persistência" através do Registro Windows.

No final, o ResolverRAT se instala em várias localizações ao longo do computador. Entre as outras características notáveis estão o uso de autenticação baseada em certificados para por passar as autoridades raiz, um sistema de rotação de IP para conectar-se a servidores C2 diferentes, proteção de pino de certificado e obfuscação do código fonte.

"Esta infraestrutura avançada do C2 demonstra as capacidades avançadas do ator ameaçador, combinando comunicações seguras, mecanismos de recuperação, e técnicas de evasão projetadas para manter acesso persistente enquanto evadindo detecção por sistemas de monitoramento de segurança", disse os pesquisadores da Morphisec.

O último momento em que foi observado o ataque na natureza foi em meados de março deste ano, o que pode sugerir que ele ainda está em andamento.

Os atacantes responsáveis pelo ResolverRAT podem ser os mesmos que estão lançando Lumma e Rhadamanthys, pois as mesmas técnicas de implantação foram vistas em todos os casos. Isso também pode significar que os grupos usaram o mesmo kit de phishing.


Matéria retirada de: techradar.com

Comentários

Postagens mais visitadas deste blog

A Inteligência Artificial está reescrevendo o manual de ransomware - as empresas podem manter o passo? (Português do Brasil)

7.300 mAh Bateria Confirmada no Vivo T4 5G após data de lançamento anunciada

Samsung Galaxy Buds Live 2 Primeira Certificação e Detalhes Descobertos