O TA505 é um grupo de cibercrime que tem estado ativo desde 2014, visando instituições educativas e financeiras. Em fevereiro de 2020, a Universidade de Maastricht, uma universidade pública dos Países Baixos, informou que foi vítima de um ataque maciço de ransomware do TA505 utilizando e-mails de phishing. O TA505 utiliza normalmente mensagens de correio eletrónico de phishing para entregar ficheiros Excel maliciosos que libertam cargas úteis quando são abertos. Os e-mails de phishing do TA505 utilizam anexos com um redireccionador HTML para entregar os ficheiros Excel maliciosos, de acordo com a investigação realizada pela TrendMicro em julho de 2019. Recentemente, uma nova campanha de e-mail de phishing usando a mesma estratégia de ataque foi descoberta pela equipa de Inteligência de Segurança da Microsoft. Nesta publicação do blogue, vamos analisar os ficheiros utilizados no ataque e explorar como a tecnologia OPSWAT's Deep Content Disarm and Reconstruction (Deep CDR ) pode ajudar a evitar ataques semelhantes.
Vectores de ataque
O fluxo de ataque utilizado é muito comum..:
- Um e-mail de phishing com um anexo HTML é enviado para uma vítima.
- Quando a vítima abre o ficheiro HTML, descarrega automaticamente um ficheiro Excel com uma macro maliciosa.
- Este ficheiro Excel liberta uma carga maliciosa quando a vítima o abre
Os ficheiros HTML e Excel foram examinados em metadefender.opswat.com no início de fevereiro de 2020.
O ficheiro HTML foi identificado como uma página falsa do Cloudflare com JavaScript relativamente simples para redirecionar os utilizadores para uma página de descarregamento após 5 segundos.
O ficheiro Excel contém várias macros ofuscadas.
Quando a vítima abre o ficheiro e ativa a Macro, aparece um falso Windows Process UI, que na realidade é um formulário Visual Basic, fazendo a vítima pensar que o Excel está a configurar algo.
Em segundo plano, a Macro é executada e descarrega alguns ficheiros no sistema da vítima com os seguintes caminhos de ficheiro: C:\Users\user\AppData\Local\Temp\copy13.xlsx, C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates\sample_.dll (RAT)
Como é que o Deep CDR o pode proteger de um ataque de phishing?
Se o ficheiro HTML for higienizado por Deep CDR, todos os vectores de risco serão removidos, incluindo o Javascript. Após o processo, o utilizador abre o ficheiro sanitizado sem o redireccionamento mencionado. Como resultado, o ficheiro Excel malicioso também não pode ser descarregado.
Além disso, as campanhas de phishing do TA505 costumavam enviar o ficheiro Excel malicioso como um anexo de e-mail diretamente para as suas vítimas. Mais uma vez, o Deep CDR é eficaz neste caso. Remove todas as macros, OLE e também sanitiza recursivamente todas as imagens no ficheiro.
Conclusão
É testemunhado que o TA505 está muito ativo nas campanhas de phishing por e-mail hoje em dia. Vários tipos de malware sofisticados têm sido utilizados para aumentar as hipóteses de entrar no sistema. As empresas são aconselhadas a melhorar a formação de sensibilização dos seus empregados para o phishing, bem como o seu sistema de segurança. MetaDefender Core O sistema de segurança da Microsoft, que utiliza 6 tecnologias de cibersegurança líderes do sector, em combinação com o MetaDefender Email Securityoferece a proteção mais abrangente à sua organização. MetaDefenderA tecnologia Multiscanning da 's utiliza o poder de mais de 35 motores AV comerciais para detetar quase 100% de malware conhecido, enquanto Deep CDR contra ataques de dia zero de ameaças desconhecidas. Além disso, como camada essencial de proteção de PII, Proactive DLP impede que dados sensíveis em ficheiros e e-mails entrem ou saiam da sua organização.
Agende uma reunião com um especialista técnico de OPSWAT para saber como proteger a sua organização contra ciberameaças avançadas.
Referência:
- A Universidade de Maastricht paga 30 bitcoins como resgate ao grupo TA505
- Mudança de tática: A utilização de HTML, RATs e outras técnicas pelo grupo TA505 nas últimas campanhas
