A gangue do OldGremlin Ransomware procura uma vítima com o TinyFluff Backdoor
Os atores de Ameaça Persistente Avançada (APT) nem sempre mostram atividades notáveis. Alguns deles preferem ir atrás de alguns ataques altamente direcionados que podem render imensos retornos se executados com sucesso. Esta é a estratégia exata em que os hackers conhecidos como OldGremlin confiam. Eles já estiveram envolvidos em vários ataques de ransomware, normalmente realizados contra empresas e empresas sediadas na Rússia. No entanto, a frequência de seus ataques é muito baixa – apenas cinco foram realizados em 2021. Além disso, o grupo está em silêncio há quase um ano – até agora.
Recentemente, especialistas em malware encontraram um novo Trojan de backdoor que foi apelidado de TinyFluff Backdoor. Parece compartilhar semelhanças com backdoors anteriores usados pelos hackers OldGremlin. Além disso, ele também reutiliza algumas das infraestruturas de rede nas quais os hackers do OldGremlin confiavam anteriormente.
Os alvos do TinyFluff Backdoor são mais uma vez as instituições financeiras russas. Os criminosos estão aproveitando os eventos atuais e enviando e-mails de phishing que afirmam conter informações sobre as atuais sanções financeiras contra empresas e cidadãos russos. Os destinatários são convidados a baixar e revisar um anexo de e-mail, que está hospedado em um serviço público de hospedagem como o Dropbox. No entanto, o download oculta um código malicioso destinado a implantar o TinyFluff Backdoor.
Uma vez ativo, o backdoor dá acesso total ao dispositivo infectado. Ele coleta dados sobre o sistema, hardware e software. Os criminosos podem enviar comandos remotos, introduzir plugins adicionais e muito mais. Surpreendentemente, o TinyFluff Backdoor ainda não foi usado em combinação com as cargas de ransomware de assinatura do OldGremlin – no entanto, isso provavelmente é apenas uma questão de tempo.