Logotipo IT Forum
IT Forum Instituto Itaqui Distrito Itaqui IT Invest
IT Forum - A Comunidade de Tecnologia se Encontra Aqui
  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • IA
  • Cibersegurança
  • Plataformas
  • ESG
  • Vídeos
  • Nossas colunas
  • Colunistas
  • Pesquisas
  • Prêmios
Revistas
  • IT Forum Líderes
  • Series
  • Histórias da TI
  • Ver todos
  • Todos os eventos
  • IT Forum Trancoso
  • IT Forum Forte
  • IT Forum Mata
  • Sobre o HIT
  • Todos os materiais
Todas as notícias Negócios Liderança CIO Carreira IA Cibersegurança Plataformas ESG Vídeos
Nossas colunas Colunistas
Pesquisas Prêmios
Revistas
Todos os videocasts E agora, TI? Entre Tech IT Forum Líderes Series
Todos os eventos Trancoso
Todos os materiais Todos os materiais
  1. Home
  2. Notícias
  3. Grupo Lazarus organiza ataques contra organizações financeiras na América Latina
Lazarus

Grupo Lazarus organiza ataques contra organizações financeiras na América Latina

Tudo indica que suas técnicas e ferramentas evoluíram com o tempo.

Publicado:
25/11/2018 às 09:04
Leitura
6 minutos
Grupo Lazarus organiza ataques contra organizações financeiras na América Latina

A Trend Micro alerta para nova ameaça – focada na América Latina – identificada por seu time de pesquisadores. Recentemente, indícios apontam para uma retomada das atividades do grupo cibercriminoso Lazarus e, particularmente, seu subgrupo Bluenoroff, que tem um histórico longo de ataques a instituições financeiras na Ásia e na América Latina. Tudo indica que suas técnicas e ferramentas evoluíram com o tempo.

O grupo estava por trás do roubo de milhões por meio de fraudes em caixas eletrônicos na África e na Ásia, e isso apenas na semana passada. Além disso, a Trend Micro descobriu, recentemente, que eles conseguiram plantar um backdoor (que a Trend Micro identificou como sendo BKDR_BINLODR.ZNFJ-A) em diversas máquinas de instituições financeiras na América Latina. A descoberta da empresa é que estes backdoors foram instalados nas máquinas das vítimas em 19 de setembro de 2018, essencialmente baseado no tempo de serviço de criação do loader. Também viram que este ataque traz semelhanças com outro do mesmo grupo, de 2017, analisado pela BAE Systems, contra alvos na Ásia.

O uso do FileTokenBroker.dll foi um elemento central nesta ação, e eles aparentam ter usado o mesmo backdoor modular nos incidentes mais recentes. A análise dos backdoors dos ataques de setembro de 2018 mostra que o AuditCred.dll/ROptimizer.dll também foi usado:

FileTokenBroker.dll (2017) AuditCred.dll/Roptimizer.dll (2018)
Método de aplicação Serviço Serviço
Função loader loader
Diretório onde atua %Windows%\\System32 %Windows%\\System32
Caminho do componente %Windows%\\System32\\en-US %Program Files%\\Common Files\\System\\ado
Blending do componente .mui files Dados de ActiveX e arquivos de objeto dll

Análise do backdoor de 2018

O Lazarus usou uma série de backdoors nos ataques de 2018, empregando uma técnica complexa que envolve três componentes principais:
• AuditCred.dll/ROptimizer.dll (detectado pela Trend Micro como sendo BKDR_BINLODR.ZNFJ-A) – loader DLL que é lançado como serviço;
• Msadoz.dll (detectado pela Trend Micro como sendo BKDR64_BINLODR.ZNFJ-A) – backdoor criptografada onde n = número de caracteres no dll do nome de arquivo do loader;
• Auditcred.dll.mui/rOptimizer.dll.mui (detectado pela Trend Micro como sendo TROJ_BINLODRCONF.ZNFJ-A) – arquivo de configuração criptografado.

O loader dll é instalado como serviço e usa nomes diferentes (AuditCred e ROptimizer) em máquinas diferentes. Contudo, eles apresentam as mesmas capacidades e são, basicamente, o mesmo arquivo. Sua função é carregar ovMsadoz.dll para descriptografar-lo e roda-lo na memória.

Se instalado com sucesso, este backdoor pode ser bastante perigoso para o alvo. Ele é capaz executar as seguintes funções:

• Coletar informações de arquivos, pastas ou drives;
• Baixar arquivos e malwares;
• Lançar, encerrar e enumerar processos;
• Atualizar os dados de configuração;
• Deletar arquivos;
• Injetar códigos de outros processos;
• Utilizar proxy;
• Abrir shell reversa;
• Rodar em modo passivo – ao invés de se conectar ativamente ao servidor de comando e controle (C&C), o backdoor fica aberto e recebe instruções de um port externo.

Uma vez carregado, ele carrega o arquivo de configuração criptografado Auditcred.dll.mui/rOptimizer.dll.mui para extrair as informações do C&C e se conectar a ele. A conexão é necessária para realizar suas atividades e, baseado nas funções do backdoor, elas podem ser bastante danosas para os alvos:

É importante notar que, enquanto o loader e o arquivo de configuração estão no mesmo diretório (%windows%\\system32), o backdoor criptografado está em outro (%Program Files%\\Common Files\\System\\ado). Este setup complexo torna mais difícil detectar e remover todos os backdoors, além de ser mais eficiente para encobrir as atividades.

A complexidade e as capacidades destes backdoors são um grande problema para seus alvos. Trata-se de um sistema sofisticado que requer medidas igualmente sofisticadas de segurança para ser contido.

O Larazus é uma organização experiente, que vem evoluindo suas técnicas e ferramentas e testando novas estratégias para superar as defesas das organizações. Os backdoors que estão sendo utilizados são difíceis de serem detectados e representam um perigo real para a privacidade e segurança de empresas, permitindo aos invasores roubar informações, deletar arquivos, instalar malware e muito mais.

Estas e outras ferramentas usadas pelo Lazarus podem ser combatidas por meio de varreduras rotineiras da rede em busca de atividades maliciosas, ajudando a evitar que malwares entrem e se espalhem em uma organização. Além disso, conscientizar colaboradores e todo pessoal relevante sobre os perigos da engenharia social de modo que possam saber identificar uma ação maliciosa.

Outras estratégias de mitigação incluem uma abordagem multicamadas na proteção de perímetro da empresa, o que inclui fortalecer os endpoints e adotar controle de aplicações para evitar que aplicações e processos maliciosos sejam executados.

As soluções de endpoint da Trend Micro como o Trend Micro™ Smart Protection Suites e o Worry-Free™ Business Security podem proteger os usuários e negócios contra estas ameaças detectando arquivos maliciosos e spam, além de bloquear todos os URL maliciosos relacionados. Trend Micro Deep Discovery™ , por exemplo, tem uma camada de inspeção de emails que pode proteger empresas contra anexos maliciosos e URLs que possam levar a downloads perigosos.

O XGen™ Security oferece um mix de defesas de diversas gerações para proteger sistemas contra todos os tipos de ameaças. Ele oferece machine learning de alta fidelidade em gateways e endpoints, e protege workload físicos, virtuais e na nuvem. Com funções de filtro web/URL, análise comportamental e sandbox customizada, o XGen Securirty protege contra as ameaças mais recentes, que superam as defesas tradicionais, que exploram vulnerabilidades desconhecidas, conhecidas e não-divulgadas, que roubam ou criptografam dados pessoais ou fazem mineração de criptomoedas. Inteligente, otimizado e conectado, o XGen Security é o segredo por traz da força das soluções Trend Micro: Hybrid Cloud Security, User Protection, e Network Defense.

Indicadores de comprometimento

• Servidores C&C
107[.]172[.]195[.]20
192[.]3[.]12[.]154
46[.]21[.]147[.]161

Seta para cima
Mais lidas
Notícias

TV por assinatura perde clientes no Brasil

9 anos atrás

1
Notícias

Neurocientista usa técnica inusitada para estudar cérebro

8 anos atrás

2
CIO

5 motivos para repensar sua estratégia de governança de dados

9 anos atrás

3
Notícias

Site da Smiles ganha performance com tecnologia Dynatrace

9 anos atrás

4
Notícias

IT Forum Latam: prepare-se para um novo amanhã

8 anos atrás

5
Logo IT Forum
Newsletter
As melhores notícias de tecnologia B2B em primeira mão
Acompanhe todas as novidades diretamente na sua caixa de entrada.
Instagram Linkedin Facebook Tiktok Youtube
1 / 1
Lazarus

Nenhum autor cadastrado para este post.

Notícias relacionadas
Ver mais Seta para direita
Notícias relacionadas
Ver mais Seta para direita
Capital cognitivo híbrido, o próximo capital das organizações
Gestão
Capital cognitivo híbrido, o próximo capital das organizações

Heriton Duarte

4 meses atrás

Dilema da IA está entre escalar produtividade e preservar confiança
Inteligência Artificial
Dilema da IA está entre escalar produtividade e preservar confiança

Déborah Oliveira

4 meses atrás

“O varejo não compete mais por canal, mas por capacidade de movimentar produtos”, diz CIO da Motz
Inteligência Artificial
“O varejo não compete mais por canal, mas por capacidade de movimentar produtos”, diz CIO da Motz

Pamela Sousa

4 meses atrás

Xerox anuncia nova estrutura global para o mercado da Print
Negócios
Xerox anuncia nova estrutura global para o mercado da Print

Redação

4 meses atrás

Conectando a tecnologia e o futuro dos negócios

Insights e inovações para líderes no IT Forum.

Conteúdos

  • Notícias
  • Colunas
  • Pesquisas
  • Series
  • Revistas
  • Videocasts
  • Eventos

Notícias

  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • Inteligência Artificial
  • Cibersegurança
  • Plataformas
  • Sustentabilidade
  • Vídeos

IT Forum

  • Sobre nós
  • Envie seu Release
  • Mídia Kit
  • Contato
  • Expediente
  • Cultura
  • Distrito Itaqui
  • Anuncie
  • Notícias
  • Colunas
  • Pesquisas
  • Series
  • Revistas
  • Videocasts
  • Eventos
  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • Inteligência Artificial
  • Cibersegurança
  • Plataformas
  • Sustentabilidade
  • Vídeos
  • Sobre nós
  • Envie seu Release
  • Mídia Kit
  • Contato
  • Expediente
  • Cultura
  • Distrito Itaqui
  • Anuncie

Logo do IT Forum
Estr. Dr. Yojiro Takaoka, 4601 - Ingahi, Itapevi - SP, 06696-050
Icone Instagram Icone Linkedin Icone Facebook Icone TikTok Icone YouTube
  • Link Política de privacidade
  • Link Fale conosco
  • Link Termos de uso
  • Link Trabalhe conosco
Copyright © 2026 IT FORUM - Todos os Direitos Reservados