Organizações em 31 países foram alvo de uma nova onda de ataques que está em andamento desde, pelo menos, outubro de 2016. Os atacantes usaram sites comprometidos ou “watering holes” para infectar alvos pré-selecionados com malware ainda desconhecido. No entanto, não foi encontrada nenhuma evidência de que os bancos infectados tenham sido roubados.
Esses ataques vieram à luz quando um banco na Polônia descobriu um malware desconhecido rodando em vários de seus computadores. Em seguida, o banco compartilhou indicadores de compromisso (IOCs) com outras instituições e várias confirmaram que também estavam comprometidas.
Conforme relatado, a fonte do ataque parece ter sido o site do regulador financeiro polonês. Os atacantes comprometeram o site para redirecionar os visitantes para um kit de exploração, que tentou instalar malware em alvos selecionados.
A Symantec bloqueou tentativas de infecção de clientes na Polônia, no México e no Uruguai pelo mesmo kit de exploração que infectou os bancos poloneses. Desde outubro, foram bloqueados 14 ataques contra computadores no México, 11 contra computadores no Uruguai e dois contra computadores na Polônia.
Kit de exploração personalizada
Os atacantes parecem estar usando sites comprometidos para redirecionar os visitantes para um kit de exploração personalizado, que é pré-configurado para infectar apenas visitantes de aproximadamente 150 endereços de IP. Esses IPs pertencem a 104 diferentes organizações, localizadas em 31 países, cuja grande maioria é composta por bancos. Um pequeno número de empresas de telecomunicações e internet também estão na lista.
Links com Lazarus?
O malware utilizado nos ataques (Downloader.Ratankba) anteriormente não era identificado, embora tenha sido detectado pela Symantec sob assinaturas de detecção genérica, que foram criadas para bloquear quaisquer arquivos envolvidos em atividades maliciosas.
A análise do malware ainda está em andamento, mas algumas sequências de código nesse malware compartilham pontos comuns com o usado pelo grupo de ameaças conhecido como Lazarus.
Esse grupo está associado a uma série de ataques agressivos desde 2009, principalmente nos Estados Unidos EUA e na Coréia do Sul. O Lazarus esteve envolvido em ataques financeiros de alto nível e algumas das ferramentas usadas no assalto ao banco de Bangladesh mostraram semelhanças de código com malware usado em ataques históricos ligados ao grupo.
A investigação desses ataques está em andamento, em busca de mais evidências sobre a identidade e os motivos dos atacantes que focam principalmente as instituições financeiras, alvo crescente de ameaças.