Nos últimos meses, especialistas em cibersegurança identificaram ataques cada vez mais sofisticados de phishing e malware direcionados a usuários individuais e grandes organizações em diversos setores. De roubo de credenciais baseado em navegador a campanhas globais de ciberespionagem, os atacantes estão empregando técnicas inovadoras para contornar as medidas de segurança tradicionais e roubar informações confidenciais.
Ataque de phishing “sem escape” do Chrome
Um dos mais recentes métodos de phishing descobertos envolve a exploração do modo de quiosque do Google Chrome para roubar credenciais do usuário. Esse método, apelidado de “Credential Flusher”, foi identificado por pesquisadores de segurança da OALabs e ganhou notoriedade por seu recurso “sem escape”, que força as vítimas a inserir seus detalhes de login em uma página falsa de login do Google.
O ataque funciona lançando o Chrome no modo quiosque – um recurso normalmente usado em interfaces públicas como caixas eletrônicos ou quiosques de internet – para exibir uma página de login em tela cheia.
Uma vez nesse modo, as vítimas se encontram incapazes de sair da tela, pois o malware desativa funções comuns de escape como F11 ou teclas de função. A única opção visível é inserir suas credenciais, que são então roubadas por um malware secundário chamado StealC. O StealC é capaz de extrair informações do armazenamento de credenciais do navegador, dando aos atacantes acesso a nomes de usuário, senhas e outros dados confidenciais.
Embora o ataque afete principalmente os usuários do Chrome, os pesquisadores alertam que táticas semelhantes podem ser adaptadas para outros navegadores que oferecem modos de quiosque ou tela cheia. Felizmente, existem maneiras de se defender contra esse ataque, incluindo o uso de Ctrl+Alt+Delete para forçar um reinício ou fechar o navegador. Além disso, evitar downloads suspeitos é crucial, pois muitas infecções por malware começam com o usuário instalando inadvertidamente um programa malicioso.
Ciberespionagem global: Backdoor MISTPEN da Coreia do Norte
Em um nível mais complexo, a ciberespionagem patrocinada pelo Estado está em ascensão, particularmente com o grupo de hackers norte-coreano UNC2970 alvejando setores aeroespacial e energético globalmente. Esses ataques utilizam táticas sofisticadas de phishing projetadas para comprometer funcionários de alto nível por meio de iscas de phishing relacionadas a empregos.
O UNC2970 tem entregue o novo backdoor MISTPEN, que infiltra os sistemas dos alvos usando um arquivo ZIP malicioso disfarçado como uma descrição de trabalho. O arquivo é normalmente enviado por meio de e-mails de phishing e contém um PDF que lança uma cadeia de malware envolvendo o lançador BURNBOOK e o backdoor MISTPEN. Uma vez implantado, o MISTPEN permite que os atacantes mantenham acesso ao sistema e roubem dados valiosos.
De acordo com pesquisadores da Mandiant da Google Cloud, o UNC2970 atualizou continuamente suas ferramentas, adicionando novos recursos para escapar da detecção. Seu malware agora inclui verificações de conectividade de rede, o que complica os esforços para analisar sistemas infectados.