Hackers continuam a espiar PME

O DeathStalker, um grupo de ameaça persistente avançada (APT) tem vindo a potenciar ataques de espionagem eficientes a pequenas e médias empresas do setor financeiros desde, pelo menos, 2012

Hackers continuam a espiar PME

Embora os ataques mais sofisticados sejam normalmente o centro das atenções, as empresas enfrentam atualmente uma série de ameaças que são mais imediatas. Desde ataques de ransomware e fugas de dados a espionagem comercial, resultando em danos para as operações ou reputação das organizações. Estes ataques são levados a cabo por orquestradores de malware de nível médio e, por vezes, por grupos hacker-for-hire, tais como o DeathStalker, que a Kaspersky tem vindo a seguir desde 2018. 

O DeathStalker é um grupo de ameaça que se concentra principalmente na ciberespionagem contra escritórios de advogados e organizações do setor financeiro. O agente de ameaças é altamente adaptável e notável por utilizar uma abordagem interativa de ritmo acelerado ao design de software, tornando-os capazes de executar campanhas eficazes.

As recentes investigações da Kaspersky ligaram a atividade do grupo DeathStalker a três famílias de malware - Powersing, Evilnum e Janicab -, o que demonstra a amplitude da atividade do grupo praticada desde, pelo menos, 2012. Embora o Powersing tenha sido rastreado pelo fornecedor de segurança desde 2018, as outras duas famílias de malware foram reportadas por outros fornecedores de segurança cibernética. A análise das semelhanças de código e perfil das vítimas entre as três famílias de malware permitiu ao investigador vinculá-los uns aos outros com um grau de confiança médio.

As táticas, técnicas e procedimentos dos agentes de ameaças permaneceram inalterados ao longo dos anos: dependem de mensagens de correio eletrónico de spear-phishing personalizadas para entregar ficheiros que contêm documentos maliciosos. Quando o utilizador clica no atalho, um script malicioso é executado e descarrega outros componentes da Internet. Isto permite que os atacantes ganhem controlo sobre o computador da vítima.

Um dos exemplos é a utilização do Powersing, um implante baseado em Power-Shell que foi o primeiro malware detetado deste agente de ameaças. Assim que o sistema da vítima ficar infetado, o malware é capaz de guardar capturas de ecrã periódicas e executar roteiros de Powershell arbitrários. Ao utilizar métodos alternativos de persistência, dependendo da solução de segurança detetada num dispositivo infetado, o malware é capaz de não ser detetado, demonstrando a capacidade do grupo para realizar testes de deteção antes de cada campanha e atualizar os scripts de acordo com os resultados mais recentes.

Nas campanhas que utilizam Powersing, o DeathStalker emprega também um serviço público bem conhecido para se misturar nas comunicações iniciais de backdoor no tráfego legítimo da rede, limitando assim a capacidade dos defensores de dificultar as suas operações. Ao utilizar os "dead-drop resolvers" - anfitriões de informação que apontam para infraestruturas adicionais de comando e controlo - colocados numa variedade de meios de comunicação social legítimos, blogues e serviços de mensagens, o agente de ameaças consegue escapar à deteção e terminar rapidamente uma campanha. Uma vez infetadas, as vítimas seriam contactadas e redirecionadas por estes resolvers, ocultando assim a cadeia de comunicação.

A atividade do DeathStalker foi detetada em todo o mundo, o que demonstra a dimensão das suas operações. Foram identificadas atividades relacionadas com Powersing na Argentina, China, Chipre, Israel, Líbano, Suíça, Taiwan, Turquia, Reino Unido e Emirados Árabes Unidos. A Kaspersky também localizou vítimas do Evilnum no Chipre, Índia, Líbano, Rússia, e Emirados Árabes Unidos.

"O DeathStalker é um excelente exemplo de um agente de ameaças contra o qual as organizações do setor privado precisam de se defender. Embora nos concentremos frequentemente nas atividades realizadas pelos grupos APT, o DeathStalker lembra-nos que as organizações que não são tradicionalmente as mais conscientes da importância da segurança também precisam de estar cientes que podem ser alvos. Além disso, a julgar pela atividade contínua, acreditamos que o DeathStalker continue a ser uma ameaça que utilizará novas ferramentas para ter impacto nas organizações. Este agente, de certa forma, é a prova de que as pequenas e médias empresas precisam de investir também na formação em segurança e sensibilização", comenta Ivan Kwiatkowski, investigador de segurança sénior do GReAT da Kaspersky.

"Para permanecer protegido do DeathStalker, aconselhamos as organizações a não utilizar linguagens de scripting, tais como powerhell.exe e cscript.exe, sempre que possível. Também recomendamos que a formação futura de sensibilização e avaliações de produtos de segurança incluam cadeias de infeção baseadas em ficheiros LNK (shortcut)", acrescenta.

 

Tags
Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 28 Novembro 2020

IT INSIGHT Nº 28 Novembro 2020

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.