Braodo Info Stealer
14 ottobre 2024
Cosa imparerai in questo articolo
- Mirato ai settori dei media, branding, marketing e della pubblicità digitale negli Stati Uniti e nel Regno Unito.
- Altamente mirato con circa 100 messaggi al mese.
- L'intento principale è distribuire malware per ottenere credenziali per GitHub, Amazon AWS e altre piattaforme.
Samantha Clarke e il team di ricerca di minacce di Mimecast hanno monitorato e indagato una sofisticata campagna di phishing che prende di mira le organizzazioni di marketing. La nuova campagna vede gli attori delle minacce impersonare un marchio noto, nel tentativo di indurre le vittime a scaricare file dannosi da Dropbox. Questi file dannosi cercano infine di consegnare malware sotto forma di Braodo Stealer.
Diffuso tramite email di phishing e spear-phishing, il malware utilizza GitHub e un server VPS con sede a Singapore per ospitare e distribuire il suo codice. Sviluppato da attori delle minacce con sede in Vietnam, Braodo Stealer esfiltra i dati del browser tramite bot di Telegram. Le informazioni rubate includono credenziali di piattaforme finanziarie, nonché account di GitHub, Amazon AWS e altre piattaforme.
L'analisi di Cyfirma spiega che il malware viene offuscato più volte e utilizza batch script, PowerShell, file eseguibili (exe), HTA e file PDF per diffondersi. Diversi repository GitHub vengono utilizzati per ospitare il codice dannoso, mentre diversi bot di Telegram vengono utilizzati per l'esfiltrazione dei dati. Opera furtivamente in background, raccogliendo e archiviando dati, che vengono poi inviati ai bot di Telegram. I dettagli completi delle capacità del malware possono essere letti nella ricerca sulle minacce di Cyfirma.
Protezione Mimecast
Abbiamo identificato diversi elementi nelle campagne che sono stati aggiunti alle nostre capacità di rilevamento.
Obiettivi:
Stati Uniti e Regno Unito, prevalentemente nei settori dei media, del branding, del marketing e della pubblicità digitale.
Indicatori di compromissione
Domini del mittente:
- ads-hogan[.]com
- hoganhr[.]com
- hrhogan[.]com
- mkt-hogan[.]com
- partner-hogan[.]com
- usa-hogan[.]com
Raccomandazioni
- Assicurati di avere configurato una politica di Attachment Protect per proteggere l'organizzazione.
- Controlla i registri delle ricevute delle email per verificare se uno dei domini mittenti è stato consegnato ai tuoi utenti.
- Informa gli utenti finali del costante utilizzo di strumenti legittimi in campagne dannose.
