Documentos sobre a guerra se tornam atrativos para espionagem cibernética

Os pesquisadores continuam observando um aumento nos ataques cibernéticos desde o início do conflito na Ucrânia e Rússia, de 39% e 22%, respectivamente

Compartilhar:

A Check Point observou que grupos de ciberameaças em todo o mundo estão usando documentos com temas da Rússia e Ucrânia para disseminar malware e atrair vítimas para espionagem cibernética.

 

Conforme os alvos e a região, os cibercriminosos estão usando iscas que vão desde textos com aparência oficial até artigos de notícias e anúncios de emprego. Os pesquisadores acreditam que a motivação dessas campanhas é a ciberespionagem, cujo objetivo é roubar informações confidenciais de governos, bancos e outras instituições financeiras e de empresas de energia. Os atacantes e suas vítimas não estão concentrados em uma única região, mas estão dispersos por todo o mundo, incluindo América Latina, Oriente Médio e Ásia.

 

Em uma nova análise, a Check Point Research apresenta o perfil de três grupos APT, denominados El Machete, Lyceum e SideWinder, que foram descobertos recentemente realizando campanhas de spear-phishing visando vítimas em cinco países diferentes.

 

Características do malware

 

A Check Point Research analisou cada malware associado a cada um dos três grupos APT, especialmente para essas atividades de ciberespionagem. As capacidades do malware referem-se a:

 

• Keylogging: rouba tudo o que o usuário digita usando o teclado.

• Coleta de credenciais – coleta credenciais armazenadas nos navegadores Chrome e Firefox.

• Coleta de arquivos: reúne informações sobre os arquivos de cada unidade e coleta seus nomes e tamanhos, permitindo o roubo de arquivos específicos.

• Captura de tela.

• Coleta de dados da área de transferência.

• Execução de comandos.

 

Metodologia de ataque

 

El Machete 

 

1) Disseminação por e-mail de campanhas de spear-phishing com texto sobre a Ucrânia.

2) Documento do Word anexado com um artigo sobre a Ucrânia.

3) O documento inclui uma macro maliciosa que baixa uma sequência de arquivos.

4) O malware é baixado no PC.

 

Lyceum

 

1) E-mail com conteúdo sobre crimes de guerra na Ucrânia e um link para um documento malicioso hospedado em um site.

2) O documento executa um código de macro quando o documento é fechado.

3) O arquivo exe  (executável) é salvo no computador.

4) Na próxima vez que o computador for reiniciado, o malware será executado.

 

SideWinder

 

1) Documento malicioso é aberto pela vítima.

2) Quando é aberto, o documento recupera um template remoto a partir de um servidor controlado pelo atacante.

3) O template externo baixado é um arquivo RTF que explora a vulnerabilidade CVE-2017-11882.

4) O malware chega ao computador da vítima.

 

Atrativos: documentos relacionados com a guerra Rússia-Ucrânia

 

El Machete 

 

A Check Point Research descobriu o grupo El Machete enviando e-mails de spear-phishing para organizações financeiras na Nicarágua, com um documento do Word anexado intitulado “Planos sombrios do regime neonazista na Ucrânia”. O referido arquivo continha um artigo escrito e publicado por Alexander Khokholikov, embaixador russo na Nicarágua, que discutia o conflito russo-ucraniano na perspectiva do Kremlin.

 

Lyceum

 

Em meados de março, uma empresa de energia israelense recebeu um e-mail de inews-reporter@protonmail[.]com com o assunto “Crimes de guerra russos na Ucrânia”. A mensagem continha algumas imagens retiradas de meios de comunicação públicos e incluía um link para um artigo hospedado no domínio news-spot[.]live, o qual levava o usuário para um documento com o artigo “Pesquisadores reúnem evidências de possíveis crimes de guerra russos na Ucrânia”, publicado pelo The Guardian. O mesmo domínio abrigava outros documentos maliciosos relacionados à Rússia e à guerra russo-ucraniana, como uma cópia de um artigo de 2020 do The Atlantic Council sobre armas nucleares russas e um anúncio de emprego para um agente de “Extração / Agente de Proteção” na Ucrânia.

 

SideWinder

 

O documento malicioso do SideWinder, que também explora o tema sobre a guerra entre Rússia e Ucrânia, foi carregado no VirusTotal (VT) em meados de março. A julgar pelo seu conteúdo, os alvos pretendidos são entidades paquistanesas. Esse documento, que é a isca, contém um texto do Instituto Nacional de Assuntos Marítimos da Universidade Bahria, em Islamabad, e intitula-se “Conversa focada no impacto do conflito russo-ucraniano no Paquistão”. Este arquivo malicioso usa injeção de template remoto. Quando o arquivo é aberto, o documento recupera um template remoto de um servidor controlado pelo cibercriminoso.

 

“No momento, verificamos uma variedade de campanhas APT que utilizam o tema da atual guerra na distribuição de malware. As campanhas são altamente direcionadas e sofisticadas, com foco em vítimas nos setores governamental, financeiro e de energia. Em nossa análise mais recente, traçamos o perfil e mostramos exemplos de três grupos diferentes de APT, todos originários de diversas partes do mundo que têm orquestrado essas campanhas de spear-phishing”, informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software.

 

Ciberataques no mundo em torno da guerra do Leste-Europeu

 

A Check Point Research (CPR) compartilhou recentemente uma atualização das tendências de cibercrimes que se tem assistido enquanto decorre a guerra Rússia-Ucrânia. Um mês após do início da guerra (em 24 de fevereiro de 2022), tanto a Rússia como a Ucrânia viram o número de ciberataques aumentar, 10% e 17% respectivamente. A CPR constatou ainda que, a nível global, registou-se um aumento de 16% no número de ciberataques. Os pesquisadores da Check Point Software têm monitorado de perto o fluxo de ciberataques por região e, especificamente, nos países da OTAN.

Conteúdos Relacionados

Security Report | Overview

Fraudes cibernéticas atingem Transportes: o que as empresas precisam fazer?

Um relatório estima que os golpes devem gerar prejuízos de US$ 48 bilhões até 2027. Estes dados mostram a que...
Security Report | Overview

Serasa Experian assina acordo de aquisição da ClearSale

A transação ampliará a oferta de serviços com foco em segurança nas operações de clientes
Security Report | Overview

Eleições 2024: Cibercrime usa IA para aplicar golpes se passando por candidatos

Com a crescente sofisticação dos ataques baseados em IA, é crucial que as pessoas estejam atentas, saibam reconhecer e evitar...
Security Report | Overview

5.000 e-mails falsos imitando a Microsoft circulam nas redes, detecta laboratório

Pesquisadores da Check Point Software debruçaram-se na análise desses e-mails que podem levar ao controle de contas de e-mail, ataques...