‘Saguaro’ concentra atenções com técnicas eficazes

Campanha de espionagem virtual recorre ao uso de um processo simples, mas efetivo, para a distribuição de diversos tipos de malware

Compartilhar:

Uma nova campanha de espionagem virtual conhecida pelo codinome Saguaro foi descoberta. Trata-se de um grupo dedicado ao crime cibernético regionalizado, que recorre ao uso de um processo transparente, mas efetivo, para a distribuição de diversos tipos de malware. Desde 2009, essa campanha tem como foco vítimas de grande visibilidade, como instituições financeiras, da área de saúde e de pesquisa, além de provedores de Internet, agências de relações públicas, universidades e empresas de logística. Seu principal campo de operação encontra-se na América Latina, e a grande maioria das vítimas está no México. Outros países afetados incluem Colômbia, Brasil, EUA, Venezuela e República Dominicana. O objetivo dos invasores é espionar e roubar informações sigilosas das vítimas.

 

Com base na investigação da Kaspersky Lab, especialistas concluíram que os invasores da campanha falam espanhol e tem origem no México. Eles visam predominantemente países latino-americanos. Foram identificadas 120 mil vítimas.

 

“Embora o ‘Saguaro’ possa ser considerado um elemento do ‘crime virtual tradicional’, a concentração geográfica de suas vítimas e as técnicas simples usadas para obter acesso a várias instituições de primeira linha o tornam um agente de ameaças incomum e difícil de controlar no cenário latino-americano. O modelo usado em todos os domínios é praticamente o mesmo; isso gera uma assinatura única, que ajudou a descobrir a magnitude da operação em andamento”, explicou Dmitry Bestuzhev, Diretor da Equipe de Pesquisa e Análise Global da Kaspersky Lab na América Latina.

 

Todas as evidências coletadas indicam que o grupo Saguaro teve início em 2009 e ainda continua em atividade. Os ataques começaram com um simples e-mail de phishing, que enganava as vítimas para abrir um documento do Microsoft Office com uma macro maliciosa incorporada. A fim de criar um gancho mais plausível e para manter a discrição, esses documentos parecem ser de uma conhecida agência do governo ou instituição financeira local. Na etapa seguinte, uma segunda carga é baixada de um amplo acervo de hosts da Web disponíveis para o grupo ‘Saguaro’ e por fim executada pela macro, infectando assim o sistema com o malware escolhido pelo grupo.

 

O armazenamento on-line do malware com nomes de arquivo como ‘logo.gif’ ou ‘logo.jpg’ e a utilização de servidores de comando e controle diferentes em cada ataque tornam muito difícil rastrear e identificar o tráfego de rede suspeito, pois toda a comunicação é feita por meio de solicitações HTTP padrão. Além disso, os servidores Web usados para distribuir os vários componentes costumam ser servidores legítimos comprometidos pelos invasores, ou servidores Web instalados especialmente pelo grupo ‘Saguaro’.

 

No momento, não há indicações de exploits que utilizam vulnerabilidades de dia zero. Porém, os documentos continuam sendo modificados e lançados em campo de acordo com os alvos visados pelo grupo. A simplicidade é um aspecto fundamental de toda a campanha e, da mesma forma que várias outras ameaças regionais, a reutilização do código é sempre prioridade para evitar o desenvolvimento desnecessário e custoso de novos malware.

 

O grupo de espionagem virtual usa malware, backdoors e ferramentas de administração remota capazes de roubar dados de navegadores da Web, clientes de e-mail, aplicativos de FTP, programas de mensagens instantâneas, conexões VPN e até capturar senhas de redes Wi-Fi e credenciais de nuvem armazenadas. Além disso, um dos módulos extrai endereços de contatos dos computadores das vítimas. Os especialistas em segurança da Kaspersky Lab também descobriram que o malware procura jogos on-line, conexões RDP, mineradores de Bitcoins e detecta se os computadores visados são conectados a dispositivos Apple ou Samsung via USB.

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365