48 3052-8500

Estrutura de automação dos navegadores são uma nova ameaça - OSTEC | Segurança digital de resultados

Geral 2min de Leitura - 06 de junho de 2022

Estrutura de automação dos navegadores são uma nova ameaça

automacao navegadores

This post is also available in: Português

Pesquisadores fizeram um alerta sobre o aumento do uso de estruturas de automação de navegador gratuitas por cibercriminosos.

De acordo com relatório da Team Cymru, o framwwork chamado Browser Automation Studio (BAS) inclui vários recursos que podem ser usados em atividades maliciosas. A estrutura é um ambiente de automação somente para Windows.

A barreira de entrada técnica para o framework é muito baixa. Suspeita-se que seja feito intencionalmente, para atrair mais contribuidores e desenvolvedores de conteúdo. Porém isso também atrai cibercriminosos que criam ferramentas sob medida para seus ataques.

Cargas de ataque

Os pesquisadores da Team Cymru observaram que os endereços IP C2 vinculados a malware, como BlackGuard, Bumblebee e Redline Stealer, comunicando-se com o subdomínio da Bablosoft.

A Bablosoft foi documentada anteriormente pela empresa de segurança em nuvem e entrega de aplicativos F5 em fevereiro de 2021, apontando para a capacidade da estrutura de automatizar tarefas no navegador Chrome do Google de maneira semelhante a ferramentas de desenvolvedor legítimas como Puppeteer e Selenium.

estrutura
Fonte: The Hacker News.

A telemetria de ameaças para o endereço IP do subdomínio – 46.101.13[.]144 – mostra que a grande maioria da atividade é originária de locais na Rússia e na Ucrânia, com inteligência de código aberto indicando que o proprietário da Bablosoft está supostamente baseado na capital ucraniana de Kyiv.

Além disso, vários hosts foram vinculados aos mineradores XMRig e Tofsee, que se comunicaram com um segundo subdomínio fingerprints[.]bablosoft[.]com, para usar um serviço que ajuda o minerador a ocultar seu comportamento.

Sobre o BAS

O BAS Framework é desenvolvido pela Bablosoft, uma empresa que oferece várias outras ferramentas de automação e utilidade. A estrutura foi detectada em fevereiro de 2021 e incluiu a capacidade de automatizar tarefas no navegador Chrome do Google.

Acredita-se que operadores das campanhas de malware estejam vinculados ao subdomínio Bablosoft (downloads[.]bablosoft[.]com) para baixar ferramentas adicionais para uso como parte de suas atividades pós-exploração.

Portanto, com base no número de invasores que já usam ferramentas oferecidas no site da Bablosoft, os especialistas esperam que o BAS se torne um componente mais comum no kit de ferramentas dos agentes de ameaças nos próximos tempos. Assim, as organizações devem implementar senhas exclusivas e impedir que os usuários usem credenciais comprometidas.

Fontes: The Hacker News, Team Cymru.

This post is also available in: Português

Por que e quando realizar um assessment de segurança?

Postagem anterior