Trojan de roubo de dados mira vários setores da indústria

Campanha de malware usa o Nemucod downloader para roubar credenciais; agentes maliciosos por trás do trojan utilizam todas as versões do JavaScript

Compartilhar:

Após examinar durante cinco meses, a Unit 42, equipe de inteligência de ameaças da Palo Alto Networks, divulgou relatório sobre uma campanha de malware que usa o Nemucod downloader para entregar um trojan que rouba credenciais. A equipe descobriu diversas repetições deste malware que fornece cargas por meio de JavaScript. Apesar do foco deste tipo de malware estar mais concentrado na Europa, os Estados Unidos e o Japão são outras duas regiões fortemente afetadas e, consequentemente, segue o risco de se espalhar para outros países.

 

O trojan de roubo de dados mira vários setores da indústria e chega como spam por meio de aplicações SMTP, POP3 e IMAP, e vem, principalmente, da Polônia (ou de domínios com nomes poloneses). Os pesquisadores destacam que, além do breve período em janeiro deste ano, quando os agentes maliciosos entregaram o conteúdo codificado JScript via arquivos executáveis no Delphi, foram notados antes apenas documentos utilizando Microsoft Office Macros com código de instalação Nemucod em Visual Basic for Applications (VBA).

 

Os agentes maliciosos por trás do Nemucod utilizam JavaScript em todas as suas versões – preenchendo seu código com uma boa quantidade de caracteres Unicode gerados aleatoriamente para desviar das tecnologias de detecção baseadas em assinaturas. Em meados de dezembro, mudaram a tática e passaram a utilizar o Microsoft Script Encoding.

 

Embora a eficácia do processo tenha atrapalhado o trabalho dos pesquisadores, a equipe de Palo Alto Networks conseguiu chegar a algumas conclusões. O malware Nemucod é implementado por meio de documentos com código de macro VBA malicioso responsável pela construção e execução de um arquivo JScript codificado que realiza outras atividades, incluindo o registro de vítimas antes do download, que neste caso incluiu um trojan executável para roubo de credenciais.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...
Security Report | Destaques

Integração da Cibersegurança: como superar o desafio de proteger IT, OT e IoT?

Diante da demanda do CISO em contar com uma proteção mais integrada em ambientes que se conectam, como TI, OT...
Security Report | Destaques

Sobrecarga de acessos faz site do Porto de Santos sair do ar

Ocorrência se deu nessa segunda-feira, quando o endereço ligado ao maior complexo portuário da América Latina ficou inacessível por diversas...