LeakNet usa uma ferramenta legítima de programadores para atacar empresas

Pesquisadores de segurança identificaram uma nova técnica usada pelo grupo LeakNet para invadir redes corporativas. O grupo instala o Deno, um ambiente de execução legítimo para JavaScript, e o usa para rodar código malicioso diretamente na memória do sistema. A operação deixa rastros mínimos e engana ferramentas de segurança tradicionais. O que é o LeakNet O LeakNet é um grupo criminoso especializado em ransomware. Ransomware é um tipo de malware que sequestra os dados da vítima, criptografa tudo e exige pagamento para devolver o acesso. O grupo está ativo desde o final de 2024 e registra uma média de três vítimas por mês. A adoção das novas técnicas pode expandir essa operação. Como o ataque começa A porta de entrada é uma método chamado ClickFix. Ela funciona como engenharia social, ou seja, manipula o comportamento humano em vez de explorar falhas técnicas. A vítima encontra uma tela falsa que simula um erro ou uma atualização necessária. Ela é instruída a copiar e colar um comando no terminal do próprio computador. Ao fazer isso, a vítima executa o ataque com as próprias mãos. Outros grupos como Termite e Interlock já usavam essa mesma técnica. A sacada do Deno Depois que a vítima executa o comando, dois scripts são acionados no computador. Um deles é escrito em PowerShell, uma linguagem de automação nativa do Windows. O outro é escrito em VBScript, uma linguagem de script mais antiga, também nativa do sistema. Os pesquisadores notaram que os arquivos foram nomeados Romeo e Juliet, com extensões .ps1 e .vbs respectivamente. Esses scripts instalam o Deno na máquina da vítima. O Deno é um ambiente de execução legítimo e de código aberto para as linguagens JavaScript e TypeScript. Ele é assinado digitalmente, o que faz com que o sistema operacional e os antivírus o reconheçam como confiável. Os atacantes usam essa confiança a seu favor. Em vez de criar um malware personalizado, que seria detectado com mais facilidade, os atacantes trazem uma ferramenta legítima e a usam para executar código malicioso. A empresa de segurança ReliaQuest batizou essa estratégia de BYOR, sigla para "Bring Your Own Runtime", que significa "traga seu próprio ambiente de execução". Execução na memória e sem rastros O código malicioso é executado diretamente na memória do sistema. Ele nunca é salvo como um arquivo no disco rígido. Isso é o que os pesquisadores chamam de execução in-memory. A maioria dos antivírus e ferramentas forenses analisa arquivos armazenados no disco. Se o malware nunca chega ao disco, ele deixa pouquíssimos rastros. A atividade aparece como uma tarefa comum de desenvolvimento, o que reduz as chances de detecção. O que acontece após a execução Assim que o código começa a rodar, ele coleta informações sobre o computador da vítima. Esse processo se chama fingerprinting do host. Com base nesses dados, o malware gera um identificador único para aquela máquina. Em seguida, o malware se conecta ao servidor de Comando e Controle, chamado C2. Esse servidor é controlado pelos atacantes e funciona como uma central de operações. O malware entra em um ciclo constante de consulta ao C2, aguardando novas instruções. Ao mesmo tempo, ele busca o payload de segundo estágio, que é o componente mais destrutivo do ataque. Fonte: https://www.tecmundo.com.br/seguranca/411677-leaknet-usa-uma-ferramenta-legitima-de-programadores-para-atacar-empresas.htm