Pesquisadores descobrem capitão de espionagem cibernética de longo prazo
Pesquisadores de segurança divulgaram recentemente informações sobre uma campanha de espionagem cibernética de longo prazo voltada para empresas da indústria de combustível em todo o mundo. A campanha teve como foco a prevenção de detecção de longo prazo e o plantio de cavalos de Troia de acesso remoto nas redes das vítimas com o objetivo de exfiltração e espionagem de dados duradouros.
Pesquisadores da empresa de segurança Intezer revelaram que agentes mal-intencionados têm usado campanhas de e-mail de spear-phishing direcionadas de maneira restrita, que carregam cargas de trojan de acesso remoto como anexos maliciosos. A gama de malware RAT usado na campanha variou muito e inclui nomes infames como Agent Tesla, Loki e AZORult. Essas ferramentas têm a capacidade de roubar informações confidenciais e logins do navegador, mas também registrar pressionamentos de tecla.
A campanha é quase inteiramente focada em empresas de petróleo e gás, mas existem alguns outliers segmentados que estão nos setores de TI e mídia. Curiosamente, a maioria das empresas-alvo está localizada na Coreia do Sul, com outros destinos localizados em todo o mundo, incluindo Europa e Estados Unidos, além dos Emirados Árabes Unidos.
Os pesquisadores também observaram que um dos alvos da campanha maliciosa era muito diferente dos demais. A bizarra se chama FEBC e é uma emissora de rádio localizada na Coréia do Sul que, segundo pesquisadores do Intezer, busca "subverter a proibição da religião" no vizinho norte do país.
Os e-mails de spear-phishing usam campos de remetente falsificados e parecem realmente ter se originado de endereços e empresas que seriam bem conhecidos das vítimas. Alguns dos e-mails usaram domínios typosquatted - um domínio que tem um único caractere diferente do legítimo, por exemplo, um ponto substituído por um travessão ou um "L" trocado por um 1.
O corpo dos e-mails maliciosos geralmente contém o que parece ser uma oferta comercial legítima. As cargas úteis estão contidas em arquivos PDF falsos que são, na verdade, arquivos .cab ou imagens .iso. Intezer também apontou que a carga útil é implantada usando técnicas sem arquivo, implantando diretamente na memória do sistema, sem deixar nenhum arquivo no disco rígido que possa desarmar as defesas potenciais.
Intezer também destacou que os e-mails foram especialmente bem-feitos em termos de formatação e foi tomado muito cuidado para que parecessem correspondência comercial legítima. Há muitos pequenos detalhes no texto desses e-mails que indicam que o agente da ameaça por trás disso não é um amador e tem uma boa noção de como é a correspondência comercial legítima e de alto perfil.
