Pesquisadores da equipe Sophos X-Ops descobriram que o grupo de ransomware Qilin tem usado uma nova tática e implantado um stealer personalizado para roubar credenciais de contas armazenadas no navegador Google Chrome. Os pesquisadores da Sophos analisaram o ataque, que começou com Qilin obtendo acesso a uma rede usando credenciais comprometidas para um portal VPN que não possuía autenticação multifator (MFA).

A violação foi acompanhada durante 18 dias, sugerindo que a Qilin poderia ter comprado sua entrada na rede de um corretor de acesso inicial (IAB). Possivelmente, o Qilin passou algum tempo mapeando a rede, identificando ativos críticos e fazendo vigilância. Após os 18 primeiros dias, os invasores migraram lateralmente para um controlador de domínio e modificaram objetos de política de grupo (GPOs) para executar um script do PowerShell (‘IPScanner.ps1’) em todas as máquinas conectadas à rede do domínio.

A abordagem do Qilin para direcionar as credenciais do Chrome cria um precedente preocupante que pode tornar a proteção contra ataques de ransomware ainda mais desafiadora. Como o GPO se aplicava a todas as máquinas do domínio, todos os dispositivos nos quais um usuário fazia login estavam sujeitos à coleta de credenciais. Isso significa que o script potencialmente roubou credenciais de todas as máquinas da empresa, caso essas máquinas tivessem estado conectadas ao domínio e com usuários logados nelas enquanto o script estava ativo.