Evolução da Campanha GlassWorm
Cientistas de segurança identificaram uma nova evolução da campanha GlassWorm que entrega um framework multiestágio capaz de roubo abrangente de dados e instalação de um Trojan de Acesso Remoto (RAT). A campanha utiliza dead drops na blockchain da Solana para comunicação, uma técnica que visa evadir detecções tradicionais de rede e tráfego.
Descoberta e escopo
O malware instala uma extensão de navegador do Google Chrome que se passa por uma versão offline do Google Docs. Esta extensão é projetada para roubar dados sensíveis diretamente do navegador da vítima. A campanha GlassWorm demonstra uma sofisticação crescente no uso de criptomoedas para infraestrutura de comando e controle (C2), dificultando o rastreamento e o bloqueio por parte das equipes de segurança.
Vetor e exploração
O framework multiestágio é capaz de roubo abrangente de dados, incluindo credenciais de navegador, tokens de sessão e informações de carteiras de criptomoedas. O RAT instalado permite que os atacantes controlem o sistema da vítima remotamente, executando comandos e extraindo informações sem a necessidade de interação contínua do usuário.
Evidências e limites
A utilização de dead drops na Solana representa uma mudança tática significativa. Em vez de servidores C2 tradicionais que podem ser bloqueados, os atacantes utilizam a blockchain para armazenar instruções e dados, tornando a infraestrutura mais resiliente. A extensão do Chrome é disfarçada para parecer legítima, explorando a confiança do usuário em ferramentas de produtividade.
Impacto e alcance
O impacto potencial é amplo, afetando usuários que baixam arquivos maliciosos ou são alvo de campanhas de phishing direcionadas. O roubo de dados de criptomoedas e credenciais corporativas pode levar a perdas financeiras diretas e comprometimento de redes empresariais. A natureza do malware sugere que os atacantes estão focados em alvos de alto valor, incluindo usuários de criptoativos e profissionais de TI.
Medidas de mitigação recomendadas
Usuários devem evitar a instalação de extensões de navegador de fontes não confiáveis e verificar a legitimidade de arquivos baixados. As organizações devem monitorar o tráfego de rede em busca de comunicações suspeitas com endereços de blockchain e implementar políticas de segurança de endpoint que bloqueiem a execução de scripts não autorizados.
O que os CISOs devem fazer imediatamente
É crucial revisar as políticas de segurança de navegador e garantir que apenas extensões aprovadas estejam instaladas. O monitoramento de transações de criptomoedas associadas a endereços de rede corporativos pode ajudar a identificar comprometimentos. Além disso, a educação dos usuários sobre os riscos de downloads maliciosos é fundamental para prevenir a infecção inicial.