Em dois incidentes separados, os agentes de ameaças recentemente tentaram introduzir malware no ambiente de desenvolvimento de software em dois bancos diferentes por meio de pacotes envenenados no registro do Node Package Manager (npm).
Pesquisadores da Checkmarx que observaram os ataques acreditam que eles sejam as primeiras instâncias de adversários visando bancos por meio da cadeia de suprimentos de software de código aberto. Em um relatório desta semana, o fornecedor descreveu os dois ataques como parte de uma tendência mais ampla que eles observaram recentemente, onde os bancos foram os alvos específicos.
Técnicas Avançadas e Segmentação
“Esses ataques exibiram técnicas avançadas, incluindo o direcionamento de componentes específicos em ativos da Web do banco da vítima, anexando funcionalidades maliciosas a ele”, disse. Checkmarx disse.
O fornecedor destacou um ataque de abril em seu relatório. No incidente, um agente de ameaça se passando por funcionário do banco alvo carregou dois pacotes maliciosos no registro npm. Os pesquisadores da Checkmarx descobriram um perfil do LinkedIn que sugeria que o colaborador do pacote trabalhava no banco-alvo e inicialmente assumiu que os pacotes faziam parte de um teste de penetração que o banco estava realizando.
Os dois pacotes npm continham um script de pré-instalação executado na instalação em um sistema comprometido. A cadeia de ataque se desenrolou com o script identificando primeiro o sistema operacional do sistema host. Em seguida, dependendo se o sistema operacional é Windows, Linux ou MacOS, o script descriptografou os arquivos criptografados apropriados no pacote npm. A cadeia de ataque continuou com os arquivos descriptografados baixando uma carga útil de segundo estágio de um servidor de comando e controle (C2) controlado pelo invasor.
“O invasor utilizou de maneira inteligente os subdomínios CDN do Azure para entregar efetivamente a carga útil de segundo estágio”, disse Checkmarx. “Essa tática é particularmente inteligente porque ignora os métodos tradicionais de lista de negação, devido ao Azure's status como um serviço legítimo.” Para tornar o ataque ainda mais confiável e difícil de detectar, o agente da ameaça usou um subdomínio que incorporava o nome do banco alvo.
A pesquisa da Checkmarx mostrou que a carga útil de segundo estágio é o Havoc Framework, uma popular estrutura de teste de penetração de código aberto que as organizações costumam usar para testes e auditoria de segurança. O Havoc se tornou uma ferramenta popular de pós-exploração entre os agentes de ameaças por causa de sua capacidade de escapar do Windows Defender e de outros controles de segurança de endpoint padrão, disse Checkmarx.
“A implantação da estrutura Havoc daria ao invasor acesso à máquina infectada dentro do banco's”, diz Aviad Gershon, pesquisador de segurança da Checkmarx, em comentários ao Dark Reading. “A partir daí, as consequências [teriam sido] dependentes do banco's defesas e o atacante's habilidades e finalidade - roubo de dados, roubo de dinheiro, ransomware, etc.”
Vítima Específica
O outro ataque relatado pela Checkmarx nesta semana aconteceu em fevereiro. Aqui também, o agente da ameaça – completamente separado do invasor em maio – carregou seu próprio pacote contendo uma carga maliciosa para o npm. Nesse caso, a carga útil foi projetada especificamente para o banco de destino. Ele foi projetado para se conectar a um elemento de formulário de login específico no banco's website e para capturar e transmitir informações que os usuários inseriram no formulário ao fazer login no site.
As características de ambos os pacotes npm os tornaram específicos não apenas para o setor bancário em geral, mas também para bancos específicos, diz Gershon. “O primeiro ataque que descrevemos no blog foi obviamente direcionado a um banco específico, falsificando a personalidade de um funcionário do banco e usando domínios criados que incluem o banco's nome,” ele diz. “Ambas as táticas foram usadas para ganhar credibilidade e atrair desenvolvedores de bancos para baixá-lo.” No entanto, neste caso, se outro usuário não relacionado ao banco tivesse baixado o pacote malicioso, ele também teria sido infectado, acrescenta Gershon.
No segundo ataque, a carga útil do adversário visava um elemento HTML específico e único em um aplicativo específico de um banco específico, diz ele. “Portanto, neste caso, este pacote envenenado provavelmente não teria prejudicado outros usuários baixando e instalando-o.” O motivo do invasor ao desenvolver o pacote era roubar as credenciais de login que os usuários teriam inserido no elemento HTML específico.
Ataques envolvendo o uso de pacotes envenenados em repositórios populares de código aberto e gerenciadores de pacotes, como npm e PyPI subiram nos últimos anos. Um estudo que a ReversingLabs conduziu no início deste ano, de fato, encontrou uma 289% de aumento nos ataques em repositórios de código aberto desde 2018. O objetivo por trás de muitos desses ataques é espionar código malicioso em ambientes de desenvolvimento de software corporativo para roubar dados e credenciais confidenciais, instalar malware sub-repticiamente e realizar outras atividades maliciosas.
Os ataques relatados pela Checkmarx esta semana são os primeiros exemplos conhecidos de bancos sendo alvos específicos de tais ataques.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/attacks-breaches/banks-in-attackers-crosshairs-via-open-source-software-supply-chain
- :tem
- :é
- :não
- :onde
- 2018
- a
- habilidades
- habilidade
- Acesso
- atividades
- atores
- Adiciona
- avançado
- tb
- entre
- an
- e
- Outro
- Aplicação
- apropriado
- Abril
- SOMOS
- AS
- Ativos
- assumiu
- At
- ataque
- Ataques
- auditoria
- Azul
- Bank
- Bancário
- indústria bancária
- bancos
- BE
- Porque
- tornam-se
- sido
- atrás
- ser
- Acreditar
- Blog
- ambos
- mas a
- by
- capturar
- transportar
- casas
- cadeia
- check-marx
- comentários
- completamente
- componentes
- Comprometido
- conduzido
- condutor
- Consequências
- contida
- continuou
- contribuinte
- controles
- Credenciais
- Credibilidade
- credível
- mira
- Escuro
- Leitura escura
- dados,
- entregar
- dependente
- Dependendo
- Implantação
- descreve
- descrito
- projetado
- desenvolvedores
- em desenvolvimento
- Desenvolvimento
- diferente
- descoberto
- domínios
- download
- dois
- Mais cedo
- efetivamente
- elemento
- Empregado
- criptografada
- Ponto final
- Segurança de endpoint
- entrou
- Empreendimento
- software corporativo
- Meio Ambiente
- ambientes
- etc.
- Éter (ETH)
- Mesmo
- executado
- fato
- Fevereiro
- Arquivos
- Primeiro nome
- Escolha
- formulário
- encontrado
- Quadro
- da
- funcionalidades
- Ganho
- Geral
- dado
- meta
- tinha
- aconteceu
- Queijos duros
- Ter
- he
- conseqüentemente
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- Destaque
- hospedeiro
- Contudo
- HTML
- HTTPS
- Machucar
- identificar
- in
- incidente
- incluir
- Incluindo
- Incorporado
- Crescimento
- indústria
- INFORMAÇÕES
- inicialmente
- dentro
- instalar
- instalação
- instalando
- instância
- para dentro
- introduzir
- envolvendo
- IT
- ESTÁ
- jpg
- apenas por
- conhecido
- Maior
- legítimo
- Perfil do linkedIn
- linux
- Lista
- logging
- entrar
- máquina
- MacOS
- moldadas
- fazer
- malwares
- Gerente
- Gerentes
- muitos
- Posso..
- métodos
- dinheiro
- mais
- nome
- rede
- nó
- observado
- of
- frequentemente
- on
- aberto
- open source
- operando
- sistema operativo
- or
- ordem
- organizações
- OS
- Outros
- Fora
- próprio
- pacote
- pacotes
- parte
- particularmente
- penetração
- platão
- Inteligência de Dados Platão
- PlatãoData
- Popular
- provavelmente
- Perfil
- propósito
- ransomware
- Leitura
- recentemente
- recentemente
- registro
- relacionado
- Denunciar
- Informou
- pesquisa
- investigador
- pesquisadores
- s
- Dito
- diz
- Segundo
- segurança
- teste de segurança
- sensível
- separado
- serviço
- mostrada
- mostrou
- desde
- local
- Software
- desenvolvimento de software
- fonte
- específico
- especificamente
- padrão
- Status
- Estudo
- subdomínio
- tal
- supply
- cadeia de suprimentos
- Surgiu
- .
- tática
- Target
- visadas
- alvejando
- tem como alvo
- técnicas
- teste
- ensaio
- que
- A
- roubo
- deles
- Eles
- então
- Lá.
- Este
- deles
- isto
- esta semana
- este ano
- ameaça
- atores de ameaças
- Através da
- para
- também
- ferramenta
- tradicional
- transmite
- Trend
- experimentado
- dois
- único
- carregado
- sobre
- usar
- usava
- Utilizador
- usuários
- utilização
- utilizado
- fornecedor
- via
- Vítima
- foi
- we
- web
- Site
- semana
- BEM
- foram
- quando
- se
- qual
- QUEM
- Windows
- de
- trabalhou
- seria
- ano
- anos
- zefirnet