Um agente de ameaças roubou US$ 11 milhões de diversos bancos. Usando um driver do Windows assinado, ele fez ataques a diversos bancos de língua francesa. As atividades se encaixam no perfil do grupo de hackers OPERA1ER, aos quais foram atribuídos pelo menos 35 ataques bem-sucedidos entre 2018 e 2020.

Ao que tudo indica, a quadrilha tem membros que falam francês e estão localizados no continente africano. Além de visarem organizações da região, também atingiram empresas na Argentina, Paraguai e Bangladesh, segundo o Bleeping Computer.

Em um artigo divulgado ontem (05), pesquisadores da Symantec revelaram detalhes sobre a atividade de um grupo cibercriminoso que eles rastreiam como Bluebottle. Este grupo compartilha técnicas, táticas e procedimentos (TTPs) com os hackers OPERA1ER.

As operações dos agentes que roubaram os bancos foram relatadas pela empresa de segurança cibernética Group-IB em um longo relatório publicado no início de novembro de 2022. Os pesquisadores sentiram falta de um malware personalizado e o uso de ferramentas já disponíveis em seus ataques. 

Os pesquisadores dizem que o malware tinha dois componentes, “uma DLL de controle que lê uma lista de processos de um terceiro arquivo e um driver ‘auxiliar’ assinado controlado pelo primeiro driver é usado para encerrar os processos na lista”.

Driver POORTRY assinado pela Microsoft
Crédito: BleepingComputer

Ao que tudo indica, o driver malicioso foi usado por diversos grupos cibercriminosos para desabilitar a defesa. A Mandiant e a Sophos relataram em meados de dezembro uma lista de drivers kernel verificados com as assinaturas Authenticode do Windows Hardware Developer Program da Microsoft . 

Após rastreio e análises, os pesquisadores comprovaram que os hackers têm assinatura legítima de entidades confiáveis ​​para que suas ferramentas maliciosas possam passar por mecanismos de verificação e assim evitar a detecção. 

Segue uma lista de ferramentas e utilitários que podem conter uso duplo disponíveis no sistema: 

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!