PESQUISORES DA FOX-IT E NCC GRUPO IDENTIFARAM UMA SuboperaiaCão Avançada do Grupo Lazarus direcionada a organizações Financeiras E de Criptomoedas. Os atacantes têm utilizados Três Trojans de Acesso Remoto (ratos) distintos – Pondrat, teme -reestre e remotepe – para Mantro Acesso Prolongado e Realizar Exfiltração de Dadas.
Leia Tamboma
Crescimento Das verbas de Cyber Cai Pela Metade
Ia em 78% das tentativas de fraude contra apostas
O Vetor Ocorre inicial via Campenhas de Engenharia Social No Telegram, Onde OS Criminosos Se Passam por Funcionários de Empreas de Trading Conhecidas. Como os sites de Vítimas São direciona para os sites de Agendamento, como versões adulteradas fazem calendly picktime, onde um possível 0 dias sem cromo permite uma execução silenciosa de código. Após o Comprometimento, o Pondrat É UsoSado como Carregador Inicial, Seguido Pelo teme -reestre em Memória, por Fim O Rat Rat Rat para Consolidar persistin.
O mecanismo de infecção Envolve O Perfhloader, UM carregador personalizado que explora uma carga de dlls fantasmas sem servInco sessionenv. Ele utiliza um algoritmo de xor em rotação para descritora cargas cargas maliciosas e injeto-las diretamenthe na memórória, evitando scrita em disco e difticultando um detectar. Como os ratos funnciais dos ratos incluem manipula de arquivos, injeção de shellcode, monitoramento de sessões rdp e exfiltração segura de Dadas.
Além de Credenciais, o Operações Ataque Afeta Crítas de Empreas de Defi, Permitindo MovieRaCão lateral Ea Instalação de Backdoors Ocultos Para Futuras Intrusões Em Cadeias de Suprimentos. O Uso Combinado de Malware inédito, Técricas de Execução em Memória e Exploraça de Vulnerabilidades Até Então Descohecidas Reforça O Alto Nível de Sofistichao do Grupo.
Especialistas alertam que ESSA Campnha Representa Uma ameaça Grave E Exigem Atenção Redobrada em Monitoramento de Protocolos, Análise Comtoramental e Detecção de Execuça em Memória para Mitigar Os Riscos.
