Remover malware VaporRage

Nobelium, ou APT29, é uma organização de crimes cibernéticos que opera na Rússia. Eles ganharam popularidade no início de 2021 por causa de seu ataque contra o fornecedor de software SolarWinds. Para esta campanha, os criminosos conseguiram executar um complicado ataque à cadeia de abastecimento, que passou despercebido por meses. Poucos meses depois que o ataque SolarWinds foi descoberto e neutralizado, os hackers Nobelium estão de volta com quatro famílias de malware, que estão sendo entregues às suas vítimas por meio de e-mails de phishing. Surpreendentemente, os criminosos conseguiram comprometer endereços de e-mail de propriedade da Agência dos Estados Unidos para o Desenvolvimento Internacional - isso torna o ataque muito mais perigoso, pois as vítimas provavelmente pensam que os e-mails são legítimos.

Depois que o e-mail de phishing é entregue, o destinatário é instado a baixar um anexo de e-mail malicioso, que inicia um ataque em vários estágios que envolve várias famílias de malware. A primeira carga útil é EnvyScout, seguida por BoomBox e NativeZone, e terminando com o implante VaporRage.

O Malware VaporRage é a última peça do quebra-cabeça e foi projetado para permanecer oculto na máquina comprometida e se conectar regularmente a um servidor de controle remoto para trocar informações e código a ser executado. Em vez de depender da execução de comando remoto, os hackers do Nobelium optaram por implantar um código de shell pré-fabricado que o malware VaporRage executa. Além disso, às vezes o VaporRage deixava cair uma cópia do sinalizador Cobalt Strike para conceder aos criminosos mais controle sobre o sistema comprometido.

Infelizmente, parece que o recente ataque dos hackers do Nobelium ainda está em andamento e pode expandir seu alcance ainda mais nas próximas semanas. Os usuários e as empresas podem ficar protegidos, contando com um software anti-malware e seguindo as práticas de navegação segura na Web mais recentes.