Bpo

Pesquisadores da Palo Alto Networks, através da unidade Unit 42, identificaram um novo malware chamado Airstalk, supostamente associado a um ator de ameaça apoiado por um Estado, que utiliza a API do AirWatch para gerenciamento de dispositivos móveis (MDM) para estabelecer um canal de comando e controle (C2) encoberto. O Airstalk aparece em variantes PowerShell e .NET, sendo a versão .NET mais avançada, capaz de capturar capturas de tela, cookies, histórico de navegação e favoritos de navegadores. O malware se comunica com o servidor C2 através de um protocolo multi-threaded e utiliza um certificado possivelmente roubado para assinar alguns de seus componentes. A pesquisa sugere que o malware pode estar visando o setor de terceirização de processos de negócios (BPO), um alvo lucrativo para atacantes, tanto criminosos quanto apoiados por Estados. A utilização de APIs relacionadas ao MDM para C2 e o foco em navegadores empresariais como o Island indicam uma potencial exploração de cadeia de suprimentos, o que pode ter implicações significativas para a segurança das organizações que dependem desses serviços.