Operação de ataque SteganoAmor usa imagens para espalhar malware
O grupo de ameaças conhecido como TA558 foi observado empregando esteganografia, uma técnica de ocultação de dados em imagens e arquivos de texto, para distribuir vários tipos de malware, incluindo Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger e XWorm.
A empresa russa de segurança cibernética Positive Technologies informou na segunda-feira que o TA558 usa extensivamente a esteganografia, incorporando scripts e documentos maliciosos dentro de imagens e arquivos de texto com nomes de arquivos como greatloverstory.vbs e easytolove.vbs. Esta campanha, denominada SteganoAmor, visa principalmente indústrias como os setores industrial, de serviços, público, energia elétrica e construção em países latino-americanos, embora empresas na Rússia, Roménia e Turquia também tenham sido afetadas.
Outros ataques vinculados ao ator de ameaça TA558
TA558 também foi observado implantando Venom RAT por meio de ataques de phishing direcionados a empresas na Espanha, México, Estados Unidos, Colômbia, Portugal, Brasil, República Dominicana e Argentina. Esses ataques geralmente começam com e-mails de phishing contendo anexos do Microsoft Excel que exploram uma falha de segurança corrigida (CVE-2017-11882) para baixar um script Visual Basic, levando à execução do malware Agent Tesla. Além do Agente Tesla, a cadeia de ataque também pode fornecer FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger e XWorm, todos projetados para acesso remoto, roubo de dados e entrega de carga útil secundária.
Para aumentar a credibilidade e evitar gateways de email, o TA558 envia emails de phishing de servidores SMTP comprometidos e usa servidores FTP infectados para armazenar dados roubados. Enquanto isso, outro grupo, conhecido como Lazy Koala pela Positive Technologies, tem como alvo organizações governamentais na Rússia, Bielorrússia, Cazaquistão, Uzbequistão, Quirguistão, Tadjiquistão e Armênia com um malware conhecido como LazyStealer, destinado a coletar credenciais do Google Chrome.
Esta atividade sugere possíveis conexões com outro grupo de hackers, YoroTrooper (também conhecido como SturgeonPhisher), conforme identificado pelo Cisco Talos, com base na geografia da vítima e em artefatos de malware.