São Paulo — InkDesign News — Um novo ataque direcionado está afetando organizações em Taiwan, com a exploração de táticas de phishing sofisticadas para roubo de dados e possível uso em futuros ataques cibernéticos.
Vetor de ataque
Os atacantes estão utilizando e-mails de phishing que se apresentam como comunicações do Bureau Nacional de Tributação de Taiwan e outras entidades governamentais. A correspondência, que aborda temas como impostos e serviços públicos, frequentemente contém um arquivo zip malicioso que, ao ser aberto, inicia uma cadeia de infecção em múltiplas etapas. O payload final reconhecido é o HoldingHands, um Trojan de Acesso Remoto (RAT) que permite exfiltração de dados e vigilância.
Os e-mails incluem um ficheiro zip que é carregado com uma biblioteca dinâmica maliciosa chamada “dokan2.dll”, essencial para a instalação do HoldingHands. Este malware descriptografa e executa um segundo payload profundo em um arquivo de texto chamado dxpi.txt, servindo como um arquivo de configuração que executa etapas de instalação e escalonamento de privilégios.
Impacto e resposta
O Fortinet, que vem monitorando a campanha desde janeiro, relata que as informações coletadas incluem detalhes sensíveis como nome de usuário, endereço IP e especificações do sistema, incluindo versão do sistema operacional e valores do registro. Nos estágios iniciais, as campanhas utilizavam e-mails de phishing relacionados a impostos para disseminar o Winos 4.0, um kit de ferramentas de malware com capacidades de keylogging e exfiltração de dados. Desde então, a introdução do HoldingHands e do Gh0stCringe aumentou as funcionalidades disponíveis para os atacantes.
Análise e recomendações
Stephen Kowski, CTO da SlashNext Email Security+, descreve a campanha em Taiwan como “planejada e executada”, destacando o uso de múltiplas variantes de malware de forma coordenada.
“O uso de arquivos zip que parecem legítimos e cadeias de infecção em múltiplas etapas evidenciam a sofisticação desta operação, que evita as verificações tradicionais de segurança em e-mails.”
(“The fact that they’re using multiple malware variants — Winos 4.0, HoldingHands RAT, and Gh0stCringe — in coordinated waves tells us this is a sophisticated, well-resourced operation that’s playing the long game.”)— Stephen Kowski, CTO, SlashNext Email Security+
Em resposta, especialistas recomendam que organizações implementem capacidades de análise comportamental de links e anexos em e-mails, para melhorar a segurança e prevenir essas ameaças emergentes. Este cenário destaca uma tendência crescente de ataques cibernéticos direcionados que evoluem em um ambiente de tensões geopolíticas na região.
À medida que esta situação se desenvolve, espera-se um aumento contínuo na frequência e sofisticação dos ataques em Taiwan, reforçando a necessidade de maior vigilância e proteção nas redes empresariais.
Fonte: (Dark Reading – Segurança Cibernética)
