Pesquisadores identificaram ataques envolvendo um malware em Python usado para instalar o ransomware RansomHub. A campanha começou com o malware SocGholish, distribuído por sites legítimos infectados, que enganam usuários a baixar falsas atualizações de navegador. Esses ataques utilizam técnicas de SEO maliciosas para redirecionar vítimas e estabelecer conexão com servidores controlados por hackers, permitindo o download de cargas maliciosas adicionais. Recentemente, campanhas exploraram vulnerabilidades em plugins WordPress desatualizados, como Yoast (CVE-2024-4984) e Rank Math PRO (CVE-2024-3665).

Cerca de 20 minutos após a infecção inicial, o backdoor em Python foi instalado. Ele funciona como um proxy reverso, conectando-se a um IP pré-configurado e criando um túnel baseado no protocolo SOCKS5. Isso permitiu que os atacantes se movessem lateralmente na rede, infectando outros sistemas via RDP. O malware mostrou ser sofisticado, com código legível e bem estruturado, sugerindo o uso de inteligência artificial para otimizar sua criação e ocultação. Antes de implantar o ransomware, os atacantes desativaram sistemas de segurança usando ferramentas como EDRSilencer, roubaram credenciais com LaZagne e comprometeram e-mails corporativos usando MailBruter.

O grupo Codefinger também foi identificado explorando buckets Amazon S3 com chaves públicas, usando criptografia nativa do AWS para bloquear o acesso aos dados das vítimas. Além disso, campanhas de phishing imitaram o grupo Black Basta, enviando centenas de e-mails legítimos para confundir vítimas enquanto hackers se passavam por suporte técnico, instalando ferramentas como TeamViewer para acessar redes corporativas.