Uma nova ameaça hacker que visa diplomatas do Azerbaijão e de Israel, foi identificada por especialistas da NSFOCUS. O grupo responsável, apelidado de Actor240524, emprega técnicas sofisticadas para acessar e modificar dados, ocultando suas atividades para evitar o rastreamento.
Os ataques começam com e-mails de phishing que contêm documentos do Microsoft Word com vírus de macros maliciosas. Uma vez ativadas, elas instalam um intermediário chamado ABCloader (“MicrosoftWordUpdater.log”), que baixa outra ameaça, o malware ABCsync (“synchronize.dll”), que estabelece comunicação com um servidor remoto para receber instruções e executar comandos.
O ABCsync possui capacidades como a execução de shell remoto e extração de informações do sistema, usando criptografia para esconder detalhes críticos e empregando medidas anti-sandbox e anti-análise para evitar detecção. Além disso, ele realiza verificações para determinar se está sendo depurado ou executado em ambientes protegidos, como máquinas virtuais.
O Actor240524 evita operações em sistemas com menos de 200 processos ativos, como medida para passar despercebido. Além disso, o ABCloader é capaz de implementar outros carregadores persistentes no sistema.
A campanha contra o Azerbaijão e Israel sugere um interesse em interferir nas relações cooperativas entre estes aliados com estreitos laços econômicos e políticos. Segundo Raphael Tedesco, gerente de novos negócios da NSFOCUS, “é importante monitorar e analisar com detalhes o modelo de operação do Actor, pois à medida que eles obtêm sucesso contra Israel, um dos países que mais possui soluções para defesa cibernética, o grupo ganha ainda mais força para endereçar ataques para outros países, inclusive na América Latina”.
