Publicado:
Leitura 5 minutos
Pesquisadores de segurança descobriram uma campanha de espionagem de malware conduzida por botnet com foco no Oriente Médio, tendo como alvo Israel e Palestina. A exploração mais recente relacionada foi lançada em 31 de outubro.
Curta, no Facebook, a Fan Page do IT Web
“Esses ataques são provavelmente desempenhados pelo mesmo invasor, já que o malware em questão se comunica com as mesmas estruturas de command-and-control, e em muitos casos são inscritas usando o mesmo certificado digital”, afirmou Snorre Fagerland, pesquisador da empresa de segurança Norman, com base na Noruega, em um relatório detalhando os ataques. “Esses ataques são contínuos há pelo menos um ano; parece que primeiro com foco nos palestinos e depois nos israelenses. O invasor é desconhecido até o momento, mas o propósito presumido é de espionagem/ vigilância”.
Norman conectou a infraestrutura maliciosa a uma série de ataques lançados no mês passado contra os computadores da força de polícia israelense, o que levou os oficiais a temporariamente derrubar os computadores e banir o uso de mídia removível, segundo noticiado.
No mês passado, a Trend Micro estudou amostras do malware e disse que pelo menos um ataque relacionado aparentemente teve como alvo a agência israelense: “o ataque começou com uma mensagem spam que seria supostamente do chefe das Forças de Defesa de Israel (Israel Defense Forces ), Benny Gatz”, escreveu em uma postagem de blog o gerente de pesquisas de ameaças para a Trend Micro, Ivan Macalintal. O assunto do e-mail era: “IDF strikes militants in Gaza Strip following rocket barrage”(IDF ataca militantes na Faixa de Gaza após bombardeio), com a intenção de levar os alvos a abrirem o anexo, que continha uma versão disfarçada e comprimida do Troia de acesso remoto (RAT – remote access Trojan) Xtreme.
A última versão do Xtreme RAT é compatível com o Windows 8 e pode capturar áudio e roubar senhas dos navegadores Chrome, Firefox, Opera e Safari. “O XtremeRat é um Tróia backdoor disponível comercialmente que vem sendo usado em muitos ataques ao longo dos anos. Ganhou notoriedade em conexão com os ataques contra os ativistas sírios; juntamente com outros Troias disponíveis comercialmente, como o BlackShades e o DarkComet”. Ele também vendo sendo usado em inúmeras operações envolvendo vigilância e explorações de acesso remoto.
Segundo a empresa Norman, versões do ataque que foram recuperadas incluem um arquivo malicioso executável – disfarçado com a extensão de arquivo .SCR e descrito para ser relacionado a várias notícias de grande vulto de Israel – que contêm arquivo de autoextração (em formato .SFX), que por sua vez contém múltiplos outros documentos. Esses arquivos incluem um inofensivo “barrage.doc”, juntamente com um de nome “Word.exe”, que é na realidade o software backdoor XtremeRAT.
Certificado falso
Todos os e-mails usados no ataque foram assinados usando o mesmo certificado digital falso, que parece ser da Microsoft. Curiosamente, a empresa Norman descobriu que há ataques usando o mesmo certificado falso de maio de 2012 e que foram controlados por servidores command-and-control (C&C), localizados nos Estados Unidos. Com investigação mais aprofundada, descobriram que desde outubro de 2011, outro malware – na maioria versões do XtremeRAT – estava se comunicando com a mesma infraestrutura C&C, bem como outros botnets, que, mais uma vez, têm sua base de serviço de hospedagem nos Estados Unidos. “É óbvio presumir que tudo isso faz parte de uma operação de vigilância de média a grande porte”, explicou Fagerland.
Estados Unidos?
Até o momento, muitas operações de espionagem por malware com seu foco no Oriente Médio têm sido relacionadas ao Governo dos Estados Unidos, incluindo o Stuxnet, Flame e Duqu, e no caso do Stuxnet juntamente com Israel . Mas nem todos os malwares com alvo na região foram lançados pelo país. Muitos especialistas em segurança acreditam que o malware Mahdi foi desenvolvido pelo Irã, com a intenção de espionar os iranianos.
De início, parecia que a campanha de ataque Xtreme RAT era uma operação voltada à Israel. Mas a empresa descobriu ataques anteriores lançados usando a mesma infraestrutura C&C, que tinha como alvo a Palestina. Os e-mails usados como isca no ataque eram escritos em árabe e se referiam a problemas de grande interesse aos palestinos. Esses ataques anteriores, que parecem que começaram entre março e abril de 2012, apoiavam-se em endereços de IP de propriedade da provedora de serviços com sede em Ramallah, na Cisjordânia.
Fagerland disse que os endereços de IP – que mudam em questão de dias – que foram usados nos ataques podem não revelar os controladores do botnet, já que eles provavelmente lancem seus ataques por meio de pacotes hackeados. Além disso, como o botnet tem como alvo tanto a Palestina quanto Israel, é difícil identificar exatamente quem está por trás deles.
Apesar disso, o cenário a ser observado é que os ataques demonstram como é fácil – e relativamente barato – lançar um ataque advanced persistent threat (APT) com ferramentas comercialmente disponíveis. “Usando malware comercial, o custo de tais operações é consideravelmente baixo quando comparado com aqueles que desenvolvem seu próprio malware”, Fagerland finalizou.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
Saiba mais:
Fogo amigo com ciberarma: Stuxnet ataca empresas dos EUA
MiniFlame: sete fatos sobre o novo malware e ciberespionagem
APT no Peru indica tendência inédita de malware na América Latina
Stuxnet, Duqu e Flame tinham como alvo Windows pirata no Irã
Redação
1 semana atrás
Redação
1 semana atrás
Redação
1 semana atrás
Pamela Sousa
1 semana atrás
Login
