Código HTML do Conteúdo

Post: Lazarus Group tem como alvo o Windows 11 com táticas clickfix e ofertas de emprego falsas - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <p>A not&oacute;ria organiza&ccedil;&atilde;o de amea&ccedil;a persistente avan&ccedil;ada de Lazarus (APT), que qi&rsquo;anxin rastreia internamente como APT-Q-1, foi vista usando a t&eacute;cnica Clickfix para penetrar nos sistemas Windows 11 e MacOS em uma sofisticada progress&atilde;o de ataques de engenharia social.</p> <p>Conhecido por incidentes de alto perfil como o Sony Pictures Hack de 2014, Lazarus mudou de roubo de intelig&ecirc;ncia para extra&ccedil;&atilde;o de ativos financeiros desde 2014, direcionando entidades como trocas de criptomoedas e institui&ccedil;&otilde;es financeiras. </p> <p>Esta campanha mais recente aproveita as ofertas falsas de emprego divulgadas por meio de contas falsas de m&iacute;dia social para atrair as v&iacute;timas a armadilhas de phishing, implantando malware como Beavertail e InvisibleFerret. </p> <p>An&aacute;lises recentes do Centro de Intelig&ecirc;ncia de Amea&ccedil;as Qi&rsquo;anxin <a href="https://www.ctfiot.com/267223.html" rel="noreferrer noopener nofollow" target="_blank">revela</a> Um script em lote que se disfar&ccedil;a de atualiza&ccedil;&atilde;o de software da NVIDIA, facilitando a implanta&ccedil;&atilde;o dessas cargas &uacute;teis nas plataformas.</p> <h2 id="h-malware-deployment"><strong>Implanta&ccedil;&atilde;o de malware</strong></h2> <p>O ataque come&ccedil;a com as v&iacute;timas que encontram um site de entrevista de emprego enganoso que os leva a resolver uma falha de configura&ccedil;&atilde;o de c&acirc;mera fabricada. </p> <p>Isso leva &agrave; execu&ccedil;&atilde;o do clickfix-1.bat (md5: f9e18687a38e968811b93351e9fca089), que baixar&aacute; a <a href="https://gbhackers.com/malicious-chrome-extension-zip/" rel="noreferrer noopener" target="_blank">Arquivo de Zip malicioso</a>nvidiarElease.zip (md5: a4e58b91531d199f268c5ea02c7bf456), de hxxps: //driverServices.store/visiodrive/nvidiarelase.zip. </p> <p>Ap&oacute;s a descompress&atilde;o, o arquivo &eacute; executado. </p> <p>Se correspondido, ele inicia o drvupdate.exe backdoord (MD5: 6175EFD148A89CA61B6835C77ACC7A8D), enquanto simultaneamente a verificando um ambiente Node.js. </p> <p>O node.js ausente aciona shell.bat (md5: 983a8a6f4d0a8c887536f5787a6b01a2) para baix&aacute; -lo e instal&aacute; -lo, seguido por comandos npm) para executar main.js (md5: b52e105bd040bda639e9e951f (md5: b52e105bd040bda639e9e9e951f (md5: b52e105bd040bda639e95e951f (md5: b52e105bd040bda639e9e95e951F (b52e105bd040bda639e9e95en.</p> <p>Beavertail, um Infotealer de plataforma cruzada preferida por Lazarus, se comunica com servidores de comando e controle (C2), como hxxp: //45.159.248.110, e prossegue para buscar cargas pagas adicionais. (MD5: 17EB90AC00007154A6418A91BF8DA9C7). A persist&ecirc;ncia &eacute; alcan&ccedil;ada por meio de modifica&ccedil;&otilde;es de registro, incorporando comandos em %userprofile %.pyppythonw.exe para garantir acesso a longo prazo. </p> <p>Para variantes do macOS, scripts como Arm64-Fixer (md5: cdf296d7404bd6193514284f021bfa54) imitam corre&ccedil;&otilde;es de arquitetura do bra&ccedil;o, implantando similar <a href="https://gbhackers.com/beware-weaponized-job-recruitment-emails/" rel="noreferrer noopener" target="_blank">Beavertail</a> Inst&acirc;ncias atrav&eacute;s de arquivos Drivfixer.sh e Launchagents Plist para persist&ecirc;ncia, com C2 em HXXP: //45.89.53.54.</p> <p>O backdoor drvupdate.exe, conectando -se a 103.231.75.101:888, suporta v&aacute;rias fun&ccedil;&otilde;es, incluindo a execu&ccedil;&atilde;o de comandos via cmd.exe (instru&ccedil;&atilde;o 0x6), opera&ccedil;&otilde;es de leitura/grava&ccedil;&atilde;o de arquivo (0x8 e 0x18) e as informa&ccedil;&otilde;es do dispositivo, o sedimento (0x4), como usernames, hostnoms, hostn, hostn, hostn, hostn, hostn, hostn. </p> <p>Ele autentica a conectividade C2 por meio de mecanismos de resposta a desafios, permitindo que os invasores emitam comandos do sono (0x9) ou manipule arquivos com subcomandos para abertura, escrita e fechamento de opera&ccedil;&otilde;es. </p> <p>A rastreabilidade vincula esses artefatos a Lazarus devido a semelhan&ccedil;as de scripts com relat&oacute;rios anteriores e o uso consistente de Beavertail e InvisibleFerret, estendendo o alcance da campanha aos ecossistemas Windows e MacOS.</p> <h2 id="h-broader-implications"><strong>Implica&ccedil;&otilde;es mais amplas</strong></h2> <p>Esta campanha Clickfix ressalta a explora&ccedil;&atilde;o adepta de vulnerabilidades psicol&oacute;gicas de Lazarus, ignorando as defesas t&eacute;cnicas, induzindo as v&iacute;timas a malware auto-exclu&iacute;do sob o pretexto de corre&ccedil;&otilde;es de rotina. </p> <p>As organiza&ccedil;&otilde;es devem aplicar a verifica&ccedil;&atilde;o estrita de comunica&ccedil;&otilde;es relacionadas ao trabalho e evitar executar scripts ou atualiza&ccedil;&otilde;es n&atilde;o solicitadas de fontes n&atilde;o confi&aacute;veis. </p> <p>A su&iacute;te de Qi&rsquo;anxin, incluindo a plataforma de intelig&ecirc;ncia de amea&ccedil;as (TIP) e o sistema de detec&ccedil;&atilde;o de amea&ccedil;as avan&ccedil;adas de Tianyan, fornece detec&ccedil;&atilde;o robusta contra tais amea&ccedil;as. </p> <p>O backup de dados cr&iacute;ticos, aplicando patches oportunos e utilizando plataformas de an&aacute;lise de arquivos para execut&aacute;veis &#8203;&#8203;desconhecidos s&atilde;o defesas essenciais. </p> <p>Como grupos adequados como Lazarus refinam a engenharia social com t&aacute;ticas de plataforma cruzada, a vigil&acirc;ncia contra intera&ccedil;&otilde;es on-line enganosas permanece primordial para impedir a intelig&ecirc;ncia e opera&ccedil;&otilde;es de roubo financeiro.</p> <h2 id="h-indicators-of-compromise-ioc"><strong>Indicadores de compromisso (COI)</strong></h2> <figure> <table> <thead> <tr> <th>Categoria</th> <th>Detalhes do COI</th> </tr> </thead> <tbody> <tr> <td>MD5 (Windows)</td> <td>F9E18687A38E9688811B93351E9FCA089, A4E58B91531D199F268C5EA02C7BF456, 3EF7717C8BCB26396FC50ED92E812D13, 98. B73FD8F21A2ED093F8CAF0CF4B41AA4D</td> </tr> <tr> <td>MD5 (macOS)</td> <td>CDF296D7404BD6193514284F021BFA54, CBD183F5E5ED7D295D83E29B62B15431, A009CD35850929199EF60E71BCE8830, 13400D5C844B7AB9AACC81822B1E7F02</td> </tr> <tr> <td>MD5 (Beavertail)</td> <td>B52E105BD040BDA6639E958F7D9E3090, 15E48AEF2E26F2367E5002E6C3148E1F</td> </tr> <tr> <td>C &amp; c</td> <td>driverServices.Store, Block-Digital.Online, hxxp: //45.159.248.110, hxxp: //45.89.53.54, 103.231.75.101:8888</td> </tr> <tr> <td>Url</td> <td>hxxps: //driverServices.store/visiodrive/nvidiarelase.zip, hxxps: //diverservices.store/visiodrive/nvidiareleasenew.zip, hxxps: //drivers.store/visiodrive/arm64-fixer, //drivers.store/visiodrive/arm64-fixer, hxxps: //driverServices.store/visiodrive/arm64-fixernew, hxxps: //block-digital.online/drivers/cam_driver</td> </tr> </tbody> </table> </figure> <p><strong>Encontre esta not&iacute;cia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&amp;gl=IN&amp;ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualiza&ccedil;&otilde;es instant&acirc;neas!</strong></p> </div></div>