Ataques de phishing avançados visam sistemas Windows usando PowerShell
Uma nova campanha de ataque cibernético está em andamento, e ela se aproveita do script PowerShell associado a uma ferramenta legítima de red teaming. O objetivo é saquear hashes NTLMv2 de sistemas Windows comprometidos, com os principais alvos sendo sistemas localizados na Austrália, Polônia e Bélgica. Os atores de ameaças, nesta campanha, estão roubando e exfiltrando hashes NTLMv2.
Eles fazem isso usando versões personalizadas do script PowerShell Start-CaptureServer da Nishang. Além disso, executam vários comandos do sistema e exfiltram os dados recuperados por meio das APIs Mockbin. Nishang é reconhecido como um framework e coleção de scripts e cargas úteis do PowerShell. Ele é amplamente utilizado para segurança ofensiva, testes de penetração e red teaming.
Os ataques atuais empregam até cinco diferentes cadeias de infecção. No entanto, todos eles têm um ponto comum: utilizam e-mails de phishing contendo arquivos ZIP para infiltrar em alvos específicos, usando técnicas de geofencing. Os pesquisadores também enfatizaram a sofisticação dos atores de ameaças. Eles usam scripts PowerShell personalizados e arquivos LNK dentro dos arquivos ZIP, demonstrando alta expertise técnica.
Fonte: BoletimSec
Publicado em: Cybersegurança