O Threat Fusion Center (TFC), uma divisão da BlueVoyant, descobriu a campanha de phishing “NaurLegal” com faturas falsas de escritórios de advocacia. Os invasores dependem de documentos PDF, arquivos do OneNote ou Excel infectados com malware.
Os agressores se passam por escritórios de advocacia e abusam da confiança que suas vítimas depositam nos prestadores de serviços jurídicos. A campanha chama-se “NaurLegal” e acredita-se que os ataques tenham sido orquestrados pelo grupo de crimes cibernéticos Narwhal Spider (também conhecido como Storm-0302, TA544).
Os invasores disfarçam arquivos PDF maliciosos como faturas de aparência autêntica de escritórios de advocacia respeitáveis – uma tática que visa atrair vítimas em vários setores. A campanha NaurLegal finge legitimidade ao criar e enviar arquivos PDF com nomes de arquivo aparentemente legítimos, como “Fatura_[número]_de_[nome do escritório de advocacia].pdf”. Esta estratégia tira partido da expectativa dos destinatários de receberem documentos legais rotineiramente na vida empresarial quotidiana. Essa abordagem aumenta a probabilidade de os destinatários abrirem os arquivos infectados por malware.
Detalhes técnicos do malware usado
A infraestrutura da campanha NaurLegal inclui domínios associados ao WikiLoader e cuja atividade de acompanhamento sugere associação com esta família de malware. WikiLoader é conhecido por técnicas sofisticadas de ofuscação, como: B. verificar as respostas da Wikipedia em busca de strings específicas para contornar ambientes sandbox. O Narwhal Spider usou o WikiLoader no passado, e o envolvimento do grupo nesta campanha sugere que cargas adicionais de malware destrutivo poderiam ser implantadas no futuro.
Relatórios do Virus Total indicam que o IcedID pode ser uma possível carga associada a esta campanha. Além disso, a infraestrutura C2 desta campanha parece depender exclusivamente de sites WordPress comprometidos – uma tática bem conhecida usada pelo Narwhal Spider. Dada a natureza sensível dos dados geridos pelas organizações atacadas, o que inclui propriedade intelectual, estratégias empresariais e informações pessoais, os riscos são particularmente elevados numa intrusão bem-sucedida.
Os atores da ameaça estão expandindo seu alcance
No passado, as campanhas WikiLoader do Narwhal Spider focavam principalmente em organizações italianas e distribuíam malware através de vários anexos de e-mail, incluindo arquivos Microsoft Excel, OneNote e PDF. No entanto, a campanha NaurLegal marca um afastamento destes ataques com foco geográfico e, em vez disso, visa uma gama mais ampla de organizações que provavelmente lidarão com projetos de lei. Esta mudança de estratégia destaca a adaptabilidade do Narwhal Spider e os seus esforços para explorar várias vulnerabilidades e táticas de engenharia social.
Os ataques às cadeias de abastecimento e às relações com parceiros de confiança continuam a aumentar em todo o mundo, mostra o Relatório de Defesa do Estado da Cadeia de Abastecimento de 2023 da BlueVoyant. A expansão das atividades de atores ameaçadores como o Narhwal Spider reforça ainda mais esta tendência.
Medidas de proteção recomendadas
A utilização de ficheiros PDF infectados com malware, disfarçados de faturas de escritórios de advocacia legítimos, é uma indicação importante dos ataques realizados no âmbito desta campanha. As equipes de segurança devem estar atentas a um volume incomumente alto de faturas em formato PDF, especialmente aquelas que vêm de fontes externas e são nomeadas no padrão “Fatura_[número]_de_[nome do escritório de advocacia].pdf”. O uso de soluções modernas de segurança de e-mail, capazes de analisar anexos PDF em busca de conteúdo malicioso, pode ajudar a detectar e conter essas ameaças.
Além de verificar os e-mails recebidos, monitorar as conexões de rede também é um método importante para identificar tais ataques. A campanha depende de sites WordPress comprometidos para comunicações C2, e padrões de tráfego incomuns ou picos de tráfego de e para sites WordPress podem indicar uma possível infecção.
Mais em bluevoyant.com
Sobre a BlueVoyant
BlueVoyant combina capacidades de defesa cibernética internas e externas em uma solução de segurança cibernética baseada em nuvem e orientada para resultados que monitora continuamente redes, endpoints, superfícies de ataque e cadeias de suprimentos, bem como a web clara, profunda e escura em busca de ameaças. Produtos e serviços abrangentes de defesa cibernética iluminam, investigam e corrigem rapidamente ameaças para proteger as organizações.