Laboratório

de Segurança
Cibernética
Relatório Executivo

Edição 36 - agosto/23
SUMÁRIO
l Ransomware BlackByte 2.0: Infiltra,
criptografa e extorque em apenas 5
dias
l Novo tipo de dropper JavaScript
distribui malwares Bumblebee e
IcedID
l Nova campanha do trojan bancário
Anatsa nos Estados Unidos e
Europa
l Avast lança descriptografador
gratuito do ransomware Akira
l Ransomware 8Base aumenta a
atividade e ameaça negócios nos
EUA e no Brasil
l Novo ransomware exibe falso alerta
de atualização do Windows
l Novo Trojan bancário TOITOIN
voltado para empresas latino-
americanas
l Regulador financeiro do Reino
Unido impulsiona bancos a
combater fraudes baseadas em IA
l WormGPT: IA para ataques BEC
ANÁLISE SITUACIONAL
Ransomware BlackByte 2.0:
Infiltra, criptografa e extorque
em apenas 5 dias
Recentemente, a equipe de resposta a incidentes da Micro-
soft investigou os ataques do ransomware BlackByte 2.0 e as
descobertas indicam que os hackers podem concluir todo o
processo de ataque (desde obter o acesso inicial até causar
danos significativos) em apenas cinco dias. Esse cronogra-
ma reduzido representa um desafio significativo para as or-
ganizações que tentam se proteger contra essas operações
prejudiciais.
Para realizar esses ataques, os hackers usam uma podero-
sa combinação de ferramentas e técnicas. A investigação
revelou que eles aproveitam os Microsoft Exchange Servers
sem patches — uma abordagem que provou ser altamente
bem-sucedida. Ao explorar essa vulnerabilidade, eles obtêm
acesso inicial às redes de destino e preparam o cenário para
suas atividades maliciosas. O ransomware emprega ainda
estratégias de esvaziamento de processo e evasão de anti-
vírus para garantir a criptografia bem-sucedida e contornar
a detecção.
Além disso, web shells os equipam com acesso e controle
remotos, permitindo que eles mantenham uma presença nos
sistemas comprometidos. O ransomware modifica shadow
copies de volume em máquinas infectadas para impedir a re-
cuperação de dados por meio de pontos de restauração do
sistema. Os invasores também implantam backdoors espe-
cialmente criadas, garantindo acesso contínuo para os inva-
sores mesmo após o comprometimento inicial.
Fonte: https://thehackernews.com/2023/07/blackbyte-20-
ransomware-infiltrate.html
Novo tipo de dropper JavaScript
distribui malwares Bumblebee e
IcedID
Uma nova cepa de um dropper JavaScript foi observada dis-
tribuindo os malwares Bumblebee e IcedID. A mudança para
droppers baseados em JavaScript oferece novas oportuni-
dades para evasão e distribuição de malware, potencialmen-
te representando desafios para produtos de segurança que
têm como foco principal a detecção de ataques baseados
em PowerShell, informou Callie Guenther, gerente sênior de
pesquisa de ameaças cibernéticas da Critical Start.
“O uso da string única de agente do usuário ‘PindOS’ e a pre-
sença de comentários russos no código do dropper levan-
tam suspeitas sobre possíveis conexões com sentimentos
antiamericanos na Rússia”, disse Guenther. “E embora seja
essencial considerar fatores geopolíticos ao analisar ame-
aças cibernéticas, atribuir motivos ou afiliações específicas
com base apenas nesses elementos pode ser um desafio.”
O Bumblebee opera como um carregador de malware que foi
descoberto pela primeira vez em março de 2022, já o IcedID
funciona como um malware bancário modular que visa rou-
bar informações financeiras.
Fonte: https://www.scmagazine.com/news/malware/new-
strain-of-javascript-dropper-delivers-bumblebee-and-icedid-
malware
Nova campanha do trojan
bancário Anatsa nos Estados
Unidos e Europa
Uma campanha de malware estava distribuindo, desde
março de 2023, o trojan bancário 'Anatsa' nos EUA, Reino
Unido, Alemanha, Áustria e Suíça. De acordo com os pes-
quisadores de segurança da ThreatFabric, o malware era
distribuído por meio da Play Store.
Os aplicativos maliciosos pertenciam à categoria de escri-
tório/produtividade, apresentando-se como aplicativos de
visualização e edição de PDF e suítes de escritório. Sempre
que um aplicativo malicioso era denunciado ao Google e re-
movido da loja, os atores de ameaças retornavam rapida-
mente, carregando um novo dropper sob um novo disfarce.
Em todos os cinco casos identificados, os aplicativos foram
enviados para o Google Play de forma limpa e posterior-
mente atualizados com código malicioso, provavelmente
para escapar do rigoroso processo de revisão de código do
Google no primeiro envio. Uma vez instalados no dispositi-
vo da vítima, os droppers solicitavam um recurso externo
hospedado no GitHub, de onde baixavam os payloads do
Anatsa mascarados como complementos de reconheci-
mento de texto para o Adobe Illustrator.
O Anatsa coleta informações financeiras, como credenciais
de contas bancárias, detalhes de cartão de crédito, infor-
mações de pagamento e assim por diante, sobrepondo pá-
ginas de phishing em primeiro plano quando o usuário tenta
iniciar seu aplicativo bancário legítimo e também por meio
de keylogging. Em sua versão atual, o trojan suporta a seg-
mentação de quase 600 aplicativos financeiros de institui-
ções bancárias de todo o mundo.
Fonte: https://www.bleepingcomputer.com/news/security/
anatsa-android-trojan-now-steals-banking-info-from-users-
in-us-uk/
Avast lança descriptografador
gratuito do ransomware Akira
A Avast lançou duas versões de um software para descrip-
tografar arquivos afetados pelo ransomware Akira, uma
para arquiteturas Windows de 64 bits e outra de 32 bits.
Os usuários precisam fornecer à ferramenta dois arquivos,
um criptografado pelo Akira e outro em seu formato de texto
simples original, para permitir que a ferramenta gere a chave
de descriptografia correta. Segundo o Avast, é importante
escolher arquivos que sejam tão grandes quanto puder en-
contrar, pois devido ao cálculo do tamanho do bloco do ran-
somware, pode haver uma diferença dramática no limite de
tamanho, mesmo para arquivos que diferem em um tamanho
de 1 byte. O tamanho do arquivo original também será o li-
mite superior de um arquivo que pode ser descriptografado
pela ferramenta do Avast, portanto, escolher o maior dispo-
nível é crucial para a restauração completa dos dados.
Por fim, o software oferece a opção de fazer backup dos
arquivos criptografados antes de tentar descriptografá-los,
o que é recomendado, pois seus dados podem ser corrom-
pidos irreversivelmente se algo der errado.
Fonte: https://www.bleepingcomputer.com/news/security/
free-akira-ransomware-decryptor-helps-recover-your-files/
Ransomware 8Base aumenta
a atividade e ameaça negócios
nos EUA e no Brasil
O 8Base, de acordo com estatísticas coletadas pela Malwa-
rebytes e NCC Group, foi vinculado a 67 ataques até maio de
2023, com cerca de 50% das vítimas operando nos setores
de serviços empresariais, manufatura e construção. A maio-
ria das empresas visadas está localizada nos EUA e no Bra-
sil. "O grupo utiliza criptografia combinada com técnicas de
‘name-and-shame’ (técnica de exposição pública utilizada
para causar e reunir opiniões negativas acerca de pessoas ou
empresas) para obrigar suas vítimas a pagar seus resgates",
disseram Deborah Snyder e Fae Carlisle, pesquisadores do
VMware Carbon Black.

A VMware disse que o 8Base é "surpreendentemente" se-

melhante ao de outro grupo de extorsão de dados rastreado
como RansomHouse, citando sobreposições nas notas de
resgate lançadas em máquinas comprometidas e no idioma
usado nos respectivos portais de vazamento de dados.

"A velocidade e a eficiência das operações atuais da 8Base

não indicam o início de um novo grupo, mas sim a continu-
ação de uma organização madura bem estabelecida", dis-
seram os pesquisadores. "Se o 8Base é uma ramificação do
Phobos ou do RansomHouse, ainda não se sabe."

Fonte: https://thehackernews.com/2023/06/8base-
ransomware-spikes-in-activity.html

Novo ransomware exibe

falso alerta de atualização do de arquivo. Os diretórios Windows, Lixeira, Arquivos de Pro-
gramas, Temporários, Dados de Programas, Microsoft e Da-
Windows dos de Aplicativos são ignorados da criptografia para evitar
tornar o sistema inutilizável.

Pesquisadores de segurança encontram uma cepa de ran-
somware chamada ‘Big Head’ que pode estar se espalhando
por meio de uma publicidade maliciosa que promove atuali-
zações falsas do Windows e instaladores do Microsoft Word.
O ransomware 'Big Head' instala três arquivos criptografados
no sistema de destino: um é usado para propagar o malware,
outro é para a comunicação com o bot do Telegram, e o ter-
ceiro criptografa arquivos, tendo a possibilidade de mostrar
ao usuário uma falsa Atualização do Windows.
A Trend Micro descobriu que o ransomware verifica se é exe-
cutado em uma virtual box, procura o idioma do sistema e
só procede à criptografia se não estiver definido em um país
membro da Comunidade de Estados Independentes (anti-
gos estados soviéticos). Durante a criptografia, o ransomwa-
re exibe uma tela que se apresenta como uma atualização
legítima do Windows. Após a conclusão do processo de crip-
tografia, a nota de resgate é distribuída em vários diretórios
e o papel de parede da vítima também é alterado para alertar
sobre a infecção.

O ransomware exclui as shadow copies para impedir a res- Fonte: https://www.bleepingcomputer.com/news/security/

tauração fácil do sistema antes de criptografar os arquivos new-big-head-ransomware-displays-fake-windows-update-
de destino e anexar uma extensão “.poop” aos seus nomes alert/
Novo Trojan bancário TOITOIN O TOITOIN possui recursos para coletar informações do
sistema, bem como coletar dados de navegadores da Web
voltado para empresas latino- instalados. Além disso, verifica a presença do Topaz Online
Fraud Detection (OFD), módulo antifraude integrado às pla-
americanas taformas bancárias da região LATAM.

Fonte: https://thehackernews.com/2023/07/new-toitoin-
As empresas que operam na região da América Latina (LA- banking-trojan-targeting.html
TAM) são alvo de um novo trojan bancário baseado no Win-
dows chamado TOITOIN.

“Esta campanha sofisticada emprega um trojan destinatário Regulador financeiro do

que segue uma cadeia de infecção em vários estágios, uti-
lizando módulos especialmente criados em cada estágio”,
Reino Unido impulsiona bancos
disseram os pesquisadores do Zscaler, Niraj Shivtarkar e
Preet Kamal.
a combater fraudes baseadas
em IA
O ataque começa com um e-mail de phishing contendo um
link incorporado que aponta para um arquivo ZIP hospeda-
O CEO da Autoridade de Conduta Financeira (FCA), Nikhil
do em uma instância da Amazon EC2 para evitar detecções
Rathi, disse em um discurso proferido nos escritórios do
baseadas em domínio. As mensagens de e-mail utilizam te-
The Economist que observará de perto quais medidas se-
mas de envio de fatura para induzir involuntários a abri-los.
rão implementadas para mitigar o risco crescente de frau-
Dentro do arquivo ZIP está um executável do download que é
des com IA.
projetado para configurar a persistência por meio de um ar-
quivo LNK na pasta de inicialização do Windows e se comu-
Ele citou o caso do ativista financeiro Martin Lewis, que aler-
nicar com um servidor remoto para recuperar seis payloads
tou seus seguidores nas mídias sociais sobre um vídeo viral
de próximo estágio na forma de arquivos MP3. O downloader
deepfake gerado por tecnologia de IA no qual uma imagem
também é responsável por gerar um script Batch que reinicia
dele foi usada para promover um esquema de fraude de in-
o sistema após um tempo limite de 10 segundos. Isso é feito
vestimento. No entanto, o chefe da FCA também reconhe-
para “evitar a detecção de sandbox, já que as ações mali-
ceu que a própria tecnologia de IA poderia ser usada para
ciosas ocorrem somente após a reinicialização”, disseram os
combater crimes, incluindo fraude e lavagem de dinheiro
pesquisadores.
“com mais rapidez, precisão e escala”. Seu discurso foi mo-
tivado por novos apelos do primeiro-ministro, Rishi Sunak,
para que o Reino Unido se torne um centro global de regula-
mentação de IA.

Suid Adeyanju, CEO da RiverSafe, argumentou que uma co-

municação clara da FCA sobre o que espera das empresas
de serviços financeiros será crucial nos próximos meses e
anos. Já Daniel Mcloughlin, CTO de campo da OneSpan,
argumentou que as organizações estão em desvantagem
porque muitas das ferramentas de segurança que usam não
foram projetadas para lidar com ameaças avançadas de IA.

Fonte: https://www.infosecurity-magazine.com/news/
financial-regulator-banks-tackle/

WormGPT: IA para ataques BEC

Os cibercriminosos desenvolveram uma ferramenta de IA
generativa chamada WormGPT, projetada para ajudar crimi-
nosos com problemas gramaticais a criar mensagens con-
vincentes de comprometimento de e-mail comercial (BEC).
A ferramenta está em desenvolvimento desde 2021, mas
desde o mês passado está sendo promovida em fóruns on-
line ilícitos.

Segundo relatório divulgado pela empresa de segurança

cibernética SlashNext, o WormGPT está sendo distribuído
como uma ferramenta de IA generativa baseada em assina-
tura. Os criminosos que promovem a ferramenta se gabam
de ser uma alternativa ilimitada ao popular serviço ChatGPT Calendário de Treinamentos
da OpenAI. A diferença marcante é que o WormGPT foi pro-
jetado para hackers "black hat" apenas com más intenções.
e Simulações previstos para
agosto:
De acordo com os promotores do WormGPT, o produto não
tem restrições éticas e pode fazer conteúdo BEC criado por
IA para solicitar dinheiro com urgência de vítimas e criar có- 22/08 – Treinamento:
digo de malware personalizável. Análise de malware (14h às 18h)
Durante um teste, o WormGPT produziu um e-mail que não 24/08 – Simulação Presencial:
foi apenas notavelmente persuasivo, mas também estrate-
gicamente astuto, mostrando seu potencial para ataques
Wargame (09 às 18h)
sofisticados de phishing e comprometimento de e-mail co-
mercial (BEC). 30/08 – Workshop:
Cyberwarfare (14h às 16h)
Fonte: https://www.scmagazine.com/news/threat-
intelligence/crimeware-tool-wormgpt-ai-bec

Para dúvidas ou informações

entre em contato pelo e-mail:
labsegciber@febraban.org.br