Em um caso, a cadeia de ataque culminou em uma tentativa de implantação do ransomware Crazy. Em outro, a combinação de aplicativos foi usada para caçar palavras-chave relacionadas a criptomoedas no computador comprometido da vítima.
A combinação desses dois aplicativos é única, diz Huntress, embora o SimpleHelp tenha um histórico de abuso por hackers como mecanismo de persistência pós-exploração. Oferece um agente leve, suporte para redundância de gateway e capacidade de operar em portas comuns. O Net Monitor for Employees, cujo objetivo é detectar funcionários que desperdiçam tempo de trabalho em atividades ilegais, é usado aqui como principal canal de acesso remoto. Para um agente de ameaça, ele oferece conexões reversas em portas comuns, mascaramento de nomes de processos e serviços, execução de shell integrada e a capacidade de implantação silenciosa por meio de mecanismos de instalação padrão do Windows.
Anna Pham, analista sênior de resposta tática da Huntress, chamou a combinação dos dois aplicativos para ataques de “perigosa”, especialmente porque em um caso o ator da ameaça obteve acesso à infraestrutura de TI da vítima por meio de uma conta VPN comprometida de um fornecedor.
Fonte: Computer World
