Kaspersky Lab identifica grupo de ciberespionagem que ataca milhares de vítimas globalmente

26/02/2015 13:01

Principal método usado pelos Falcons para transmitir o payload malicioso são ataques de spear phishing via e-mails.

A Equipe de Pesquisa e Análise Global da Kaspersky Lab descobriu um grupo no Oriente Médio chamado de “Desert Falcons” – responsável por ataques de ciberespionagem contra múltiplas organizações e indivíduos de perfil elevado em diversos países. Os especialistas da Kaspersky Lab consideram este ator como o primeiro grupo árabe de cibermercenários conhecido por desenvolver e colocar em andamento operações de ciberespionagem em grande escala.

A lista de vítimas incluem organizações militares e governamentais – particularmente empregados responsáveis pelo combate de lavagem de dinheiro, assim como os sistemas de saúde e de economia, meios de comunicação líderes; instituições de pesquisa e educação; fornecedores de energia e serviços; ativistas e líderes políticos; empresas de segurança física; e outros alvos que possuam informações geopolíticas importantes.

No total, foram encontrados sinais de mais de 3 mil vítimas em mais de 50 países, com mais de um milhão de arquivos roubados. Ainda que o foco principal da atividade dos Desert Falcons parece estar em países como Egito, Palestina, Israel e Jordânia, mas também foram encontradas múltiplas vitimas no Qatar, Arábia Saudita, Emirados Árabes Unidos, Argélia, Líbano, Noruega, Turquia, Suécia, França, Estados Unidos, Rússia e outros países.

O principal método usado pelos Falcons para transmitir o payload malicioso são ataques de spear phishing via e-mails, posts em redes de mídias sociais e mensagens de chats. As mensagens de phishing contêm arquivos maliciosos (ou um link para arquivos maliciosos) mascarados como documentos ou aplicações legítimas. Os Desert Falcons usam várias técnicas para seduzir as vítimas para abrir os arquivos maliciosos. Uma das técnicas mais específicas é o chamado “right to left override”  (RTLO). Esse método tira vantagem de um caracter especial em UNICODE para reverter a ordem dos caracteres do nome de um arquivo. Desse modo, ele esconde a extensão perigosa no meio do nome do arquivo, e colocando uma extensão falsa, aparentemente inofensiva, próximo ao final do nome do arquivo. Usando essa técnica, arquivos maliciosos (.exe, .scr) irão parecer como um arquivo de documento ou PDF inofensivo; e mesmo usuários cuidadosos, com bom conhecimento técnico, podem ser levados a abrir esses arquivos. Por exemplo, um arquivo que termine como .cod..scr apareceria como .rcs.doc

As ferramentas maliciosas usadas têm funcionalidade Backdoor , incluindo a habilidade de tirar screenshots, logar teclas digitadas, fazer upload/download de arquivos, coletar informação sobre todos os arquivos de Word e Excel do disco rígido ou de dispositivos USB conectados de uma vítima, roubar senhas armazenados no registro do sistema (Internet Explorer e Messenger) e fazer gravações de áudio. Os especialistas da Kaspersky Lab também foram capazes de encontrar traços de atividade de um malware que parece ser um backdoor do sistema Android capaz de roubar logs de chamadas e SMS de celulares.

Usando essas ferramentas, os Desert Falcons lançaram e gerenciaram pelo menos três campanhas maliciosas diferentes, escolhendo diferentes grupos de vítimas em diferentes países.

Os pesquisadores da Kaspersky Lab estimam que pelo menos 30 pessoas em três equipes, espalhados através de diferentes países, estão operando as campanhas de malware dos Desert Falcons.

Ciberataque do Carbanak afeta mais de 100 instituições financeiras

“Os indivíduos por trás dessa ameaça são altamente determinados, ativos e com bom conhecimento técnico, político e cultural. Usando apenas e-mails de phishing, engenharia social, ferramentas e backdoors feitos em casa, os Desert Falcons foram capazes de infectar centenas de vítimas importantes e suscetíveis na região do Oriente Médio, através de seus sistemas de computadores ou dispositivos móveis, para assim roubar dados sensíveis. É esperado que essa operação continue desenvolvendo mais Cavalos de Troia e a usar técnicas mais avançadas. Com financiamento suficiente, eles poderiam adquirir ou desenvolver exploits que aumentariam a eficiência de seus ataques”, disse Dmitry Bestuzhev, especialista de segurança na Equipe de Pesquisa e Análise Global da Kaspersky Lab.

 

Fonte:Ipnews