Uma nova campanha de engenharia social, supostamente vinculada ao grupo de ransomware Black Basta, está associada a múltiplas tentativas de intrusão, com o objetivo principal de roubar credenciais e implantar o malware SystemBC. De acordo com a Rapid7, os ataques começam com uma “bomba de e-mails”, que é seguida por tentativas de contato com os usuários afetados através de ligações realizadas via Microsoft Teams. Nessas ligações, os atacantes oferecem uma solução falsa para o problema e convencem as vítimas a baixar e instalar o software de acesso remoto legítimo AnyDesk. Esse software serve como canal para enviar cargas maliciosas e exfiltrar dados sensíveis.

Uma das cargas maliciosas destacadas é o executável “AntiSpam.exe”, que simula o download de filtros de spam de e-mail e solicita que os usuários insiram suas credenciais do Windows para completar a suposta atualização. O ataque segue com a execução de vários binários, arquivos DLL e scripts PowerShell, incluindo um beacon baseado em Golang que estabelece comunicação com um servidor remoto, um proxy SOCKS, e o SystemBC.

Para mitigar os riscos dessa ameaça, recomenda-se bloquear todas as soluções de desktop remoto não aprovadas e estar atento a chamadas e mensagens suspeitas que afirmam ser do departamento de TI interno. Além disso, foi observado que ataques de phishing estão distribuindo o malware 0bj3ctivity Stealer por meio de outro carregador chamado Ande Loader, parte de um mecanismo de distribuição em várias camadas. A evolução constante desses carregadores, com técnicas de ofuscação de código e anti-depuração, sublinha a necessidade de mecanismos avançados de detecção e uma pesquisa contínua no campo da cibersegurança.