São Paulo — InkDesign News — Uma nova campanha de injeção na web está utilizando uma variante aprimorada do Trojan de Acesso Remoto (RAT) da operação de ransomware Interlock, alertando para sérios riscos de segurança cibernética. O grupo, conhecido por suas táticas de dupla extorsão, pode estar ampliando seu alcance com técnicas sofisticadas.
Vetor de ataque
Pesquisadores da empresa de inteligência de ameaças The DFIR Report identificaram que o uso do RAT Interlock envolve um método que se vale de injeções maliciosas em sites legítimos. O ataque ocorre quando um visitante acessa um website comprometido e é instruído a clicar em um CAPTCHA, facilitando a execução de um comando malicioso que aciona o RAT.
Impacto e resposta
Uma vez ativado, o Interlock RAT realiza uma série de comandos em PowerShell para coletar informações detalhadas do sistema da vítima, como especificações do sistema e serviços em execução. Este acesso permite que o invasor configure uma infraestrutura de comando e controle (C2) robusta, utilizando serviços como o CloudFlare Tunneling para manter o acesso, o que complica a detecção e mitigação do ataque.
“Esta descoberta destaca a contínua evolução das ferramentas do grupo Interlock e sua sofisticação operacional”
(“This discovery highlights the continued evolution of the Interlock group’s tooling and their operational sophistication.”)— Pesquisador da DFIR Report, The DFIR Report
Análise e recomendações
A abordagem oportunista do Interlock RAT permite que o grupo ataque uma variedade de indústrias. As vítimas são escolhidas com base na acessibilidade e valor percebidos dos dados. Organizações devem reforçar a conscientização sobre phishing, bloquear a combinação de teclas Win + R, e implementar autenticação multifatorial e privilégios mínimos para mitigar o risco associado a essas ameaças.
“O modelo oportunista permite a eles lançar uma ampla rede e engajar-se seletivamente com base no valor percebido”
(“This opportunistic model allows them to cast a wide net and selectively engage depending on perceived value.”)— Porta-voz, The DFIR Report
O setor deve se preparar para futuras evoluções na tática do Interlock, ressaltando a importância de vigilância contínua e estratégias de defesa robustas.
Fonte: (Dark Reading – Segurança Cibernética)
