Pesquisadores de segurança da Trend Micro identificaram uma operação
de ciberespionagem ativa que, até agora, comprometeu computadores
pertencentes a órgãos governamentais, empresas de tecnologia, meios de
comunicação, instituições de pesquisas acadêmicas e ONGs de mais de 100
países.
A operação, que a Trend Micro apelidou de SafeNet, atinge potenciais
vítimas usando e-mails phishing com anexos maliciosos. Os pesquisadores
da empresa publicaram uma pesquisa.
A investigação mostrou dois conjuntos de servidores de comando e
controle (C&C) usados para o que parecem ser duas campanhas de
ataque distintas, que possuem diferentes alvos - mas usam o mesmo
malware.
Uma das campanhas usa e-mails phishing com conteúdo relacionado ao
Tibete e à Mongólia. As mensagens contêm anexos ".doc", que exploram uma
vulnerabilidade do Word corrigida pela Microsoft em abril de 2012.
Logs de acesso coletados a partir desta campanha revelaram um total
de 243 endereços IP únicos de vítimas de 11 países diferentes. No
entanto, os pesquisadores descobriram que apenas três vítimas ainda
estavam ativas no momento da investigação com endereços IP da Mongólia e
do Sudão.
Os servidores C&C correspondentes à segunda campanha de ataques
registraram 11 563 endereços IP únicos de 116 países diferentes, mas o
número real de vítimas é provavelmente bem menor, disseram os
pesquisadores. Em média, 71 vítimas estavam se comunicando ativamente
com este conjunto de servidores, em determinado momento durante a
investigação, disseram.
Os e-mails utilizados na segunda campanha de ataque não foram
identificados, mas o golpe parece ser maior em alcance e as vítimas mais
amplamente dispersas - geograficamente falando. Os cinco principais
países por contagem de endereços de IP de vítimas são a Índia, EUA,
China, Paquistão, Filipinas e Rússia.
O malware instalado nos computadores comprometidos foi projetado
principalmente para roubar informações, mas sua funcionalidade pode ser
melhorada com módulos adicionais.
Os pesquisadores descobriram componentes com propósitos especiais nos
servidores de comando e controle, bem como programas que podem ser
usados para extrair as senhas salvas do Internet Explorer e Firefox, e
também credenciais do Remote Desktop Protocol armazenados no Windows.
"Enquanto determinar a intenção e a identidade dos crackers permanece
difícil, determinamos que a campanha SafeNet é direcionada e utiliza o
malware desenvolvido por um engenheiro de software profissional que pode
estar conectado a cibercriminosos na China", disseram os pesquisadores.
"Este indivíduo estudou em uma universidade técnica de destaque no
mesmo país e parece ter acesso ao repositório de código-fonte de uma
empresa de serviços de Internet."
Os operadores dos servidores C&C acessaram eles com endereços
IP de vários países, mas, na maioria das vezes, a partir da China e Hong
Kong. "Vimos também o uso de VPNs e ferramentas de proxy, incluindo o
Tor, o que contribuiu para a diversidade geográfica de endereços IP dos
operadores.", afirmam.
Fonte: IDGNow
Notícia nos jornais
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.