Uma campanha de malware recém-descoberta sugere que os próprios hackers se tornaram alvos de outros hackers, que estão infectando e colocando as ferramentas comuns de hackers com malware.
Amit Serper, da Cybereason, descobriu que os atacantes nesta campanha de um ano estão usando as ferramentas de hackers existentes – algumas das quais são projetadas para filtrar dados de um banco de dados através de rachaduras e geradores de chave de produto que desbloqueiam versões completas do software de teste – e injetando um poderoso controle remoto. acessar trojan. Quando as ferramentas são abertas, os hackers obtêm acesso total ao computador do alvo.
Serper disse que os atacantes estão “enganando” outros hackers, publicando as ferramentas reembaladas em fóruns de hackers. Mas não é apenas um caso de hackers direcionados a outros hackers. Essas ferramentas reembaladas com códigos maliciosos não estão apenas abrindo um backdoor para os sistemas do hacker, mas também qualquer sistema que o hacker já tenha violado.
“Se os hackers estão alvejando você ou sua empresa e eles estão usando essas ferramentas trojanizadas, significa que quem está invadindo os hackers também terá acesso aos seus ativos”, disse Serper. Isso inclui pesquisadores de segurança ofensivos trabalhando em compromissos com equipes vermelhas, disse ele.
Serper descobriu que esses invasores ainda desconhecidos estão injetando e reembalando as ferramentas de hackers com o njRat, um poderoso trojan, que dá ao invasor acesso total à área de trabalho do alvo, incluindo arquivos, senhas e até acesso à webcam e microfone. O trojan remonta a pelo menos 2013 quando foi usado com frequência contra alvos no Oriente Médio. O njRat geralmente se espalha por e-mails de phishing e unidades flash infectadas, mas, mais recentemente, os hackers injetaram o malware em sites inativos ou inseguros, em um esforço para evitar a detecção. Em 2017, os hackers usaram essa mesma tática para hospedar malware no site da unidade de propaganda do chamado Estado Islâmico. Serper descobriu que os atacantes estavam usando a mesma técnica de invasão de sites para hospedar o njRat nesta campanha mais recente.
De acordo com suas descobertas, os invasores comprometeram vários sites – sem o conhecimento de seus proprietários – de hospedar centenas de amostras de malware njRat, bem como a infraestrutura usada pelos invasores para comandar e controlar o malware. Serper disse que o processo de injeção do trojan njRat nas ferramentas de hackers ocorre quase diariamente e pode ser automatizado, sugerindo que os ataques são executados em grande parte sem interação humana direta.