Recentemente, emergiu um grupo de cibercriminosos, conhecido como AtlasCross, que tem chamado a atenção das autoridades de segurança devido às suas táticas avançadas. Este grupo tem utilizado iscas baseadas na Cruz Vermelha para disseminar ataques de phishing, e vamos explorar em detalhes essa ameaça, bem como as ferramentas perigosas chamadas DangerAds e AtlasAgent, que estão sendo empregadas para comprometer sistemas.
O grupo AtlasCross e suas táticas
O AtlasCross é um grupo de cibercriminosos que demonstra um alto nível técnico e uma abordagem cuidadosa em seus ataques. Isso significa que eles são extremamente habilidosos e meticulosos em suas operações. O que torna suas atividades ainda mais preocupantes é o fato de que eles se concentram em alvos específicos e utilizam o phishing como principal meio de penetração nos domínios de suas vítimas.
O ataque com tema da Cruz Vermelha
O ciclo de ataque AtlasCross começa com um documento do Microsoft Word contaminado por macros como detalha o The Hacker News. Este documento se apresenta como uma campanha de doação de sangue da Cruz Vermelha Americana, uma tática eficaz para enganar as vítimas. Quando o documento é aberto, as macros maliciosas são ativadas, permitindo que os invasores estabeleçam persistência no sistema da vítima.
Além disso, informações do sistema são exfiltradas para um servidor remoto, localizado em (data.vectorse[.]com), que é um subdomínio de um site legítimo pertencente a uma empresa de engenharia nos Estados Unidos. Esse servidor atua como um ponto de coleta de informações confidenciais das vítimas.
Outra ação realizada pelo ataque é a extração de um arquivo denominado KB4495667.pkg, conhecido como DangerAds. Esse arquivo funciona como um carregador que inicia o shellcode, que por sua vez leva à implantação do AtlasAgent, um malware programado em C++ com diversas capacidades maliciosas.
As capacidades do AtlasAgent
O AtlasAgent é uma ameaça multifuncional que pode coletar informações do sistema, operar com shellcode e executar comandos para obter um shell reverso. Além disso, ele pode injetar código em um processo especificado, permitindo um controle quase total sobre o sistema comprometido. Ambas as ferramentas, DangerAds e AtlasAgent, foram desenvolvidas com características evasivas para dificultar a detecção por parte de ferramentas de segurança.
Exploração de vulnerabilidades
O AtlasCross suspeita-se que tenha comprometido servidores de rede pública, aproveitando-se de vulnerabilidades conhecidas e transformando-os em servidores de comando e controle (C2). A NSFOCUS, empresa de segurança, identificou 12 servidores diferentes comprometidos nos Estados Unidos. Isso mostra a sofisticação e a escala das operações desse grupo.
Identidade do AtlasCross: um enigma
Um dos aspectos mais intrigantes dessa ameaça é a identidade do AtlasCross e seus patrocinadores. Até o momento, a verdadeira identidade por trás desse grupo permanece um enigma. Isso levanta questões sobre quem está financiando suas operações e qual é o seu verdadeiro objetivo.
Proteção contra essa ameaça
Para se proteger contra ataques como esses, é essencial manter sistemas e software atualizados. Educar os usuários sobre os perigos do phishing é fundamental, visto que muitos ataques começam com a manipulação das pessoas. Além disso, é crucial implementar soluções de segurança robustas que possam identificar e neutralizar essas ameaças antes que causem danos irreparáveis.
