segunda-feira, 7 de julho de 2014

Kaspersky diz que Miniduke volta a atacar

Pesquisadores da Kaspersky Lab descobriram que os implantes antigos do Miniduke criados em 2013 ainda estão sendo usados ​​em campanhas ativas que visam infectar governos e outras entidades. Além disso, a nova plataforma do Miniduke - BotGenStudio - pode ser usada não somente em ataques APT, mas por agências policiais e criminosos tradicionais também.

Embora o APT Miniduke tenha cessado sua campanha ou pelo menos diminuído sua intensidade assim que o anuncio de sua existência foi feito pela Kaspersky Lab e pela CrySyS Lab, no ano passado, o ataque foi retomado em pleno vigor no início deste ano. Desta vez, especialistas da Kaspersky Lab notaram mudanças na forma como os atacantes agem e quais ferramentas usam.

Após a exposição de 2013, os responsáveis pelos ataques do  Miniduke começaram a usar outro backdoor personalizado, capaz de roubar vários tipos de informações. O malware simula aplicativos populares que são projetados para funcionar em segundo plano, incluindo informações, ícones e até mesmo o tamanho do arquivo.

Características únicas

O "novo" backdoor do Miniduke (mais conhecido como TinyBaron ou CosmicDuke) é compilado usando uma estrutura personalizável chamada de BotGenStudio e que tem flexibilidade para ativar ou desativar componentes quando o bot é construído. O malware é capaz de roubar uma variedade de informações. O backdoor também tem muitos outros recursos, incluindo: keylogger, compilação de informações sobre a rede, captura da tela, captura da área de transferência; roubo do Microsoft Outlook, Windows Address Book, de senhas do Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird, capturador de chaves de Protected Storage, além de exportar certificados ou de chaves privadas, etc.

O malware implementa vários conectores de rede para extrair dados, incluindo a transferência de informações via FTP e três diferentes variantes de mecanismos de comunicação HTTP. Armazenar dados extraídos é outra característica interessante do MiniDuke. Quando um arquivo é enviado para o servidor C&C ele é dividido em pequenos pedaços (~3kb) que são compactados, criptografados e colocados em um recipiente a ser enviado para o servidor. Se o arquivo for grande o suficiente, pode ser colocado em vários recipientes diferentes que são enviados de forma independente. Todas estas camadas de garantias adicionais de processamento faz com que poucos pesquisadores sejam capazes de chegar aos dados originais.

Cada vítima do MiniDuke é atribuída  um ID único que permite que sejam feitas atualizações específicas para uma vítima individual. Para sua autoproteção, a praga usa um instalador personalizado ofuscado que consome recursos da CPU antes de passar a execução para amódulo principal. Fazendo isso, os criminosos impedem que soluções antimalware analisem o implante e detectem a funcionalidade maliciosa via emulador. Esse processo também dificulta a análise do malware.

C&Cs - duplo propósito. Durante a análise, os especialistas da Kaspersky Lab foram capazes de obter uma cópia de um dos servidores de comando e controle (C&C) do CosmicDuke. Parece que este foi utilizado não só para a comunicação entre os responsáveis por trás do CosmicDuke e dos PCs infectados, mas também para outras operações, realizadas por membros do grupo, incluindo a invasão de outros servidores na Internet com o objetivo de coletar tudo o que pode levar a alvos potenciais. Para este efeito, o C&C foi equipado com uma gama de ferramentas de hacking publicamente disponíveis que buscam vulnerabilidades em sites usando diferentes motores para assim comprometê-los.

Vitimas. Curiosamente, enquanto os implantes antigos do Miniduke foram usados para atingir principalmente as entidades governamentais, os novos implantes do CosmicDuke tem uma tipologia diferente de vítimas. Além de governos, existem organizações diplomáticas, setor de energia, operadores de telecomunicações, fornecedores militares e pessoas envolvidas no tráfico e venda de substâncias ilegais e controladas.

Os especialistas da Kaspersky Lab têm analisado tanto o CosmicDuke quanto servidores antigos do Miniduke. Por meio deste último os especialistas da Kaspersky Lab foram capazes de extrair uma lista de vítimas e de seus respectivos países e, por isso, os especialistas descobriram que os responsáveis pelo Miniduke atacaram alvos na Austrália, Bélgica, França, Alemanha, Hungria, Países Baixos, Espanha, Ucrânia e Estados Unidos. As vítimas, em pelo menos três destes países, pertencem à categoria "governo".

Um dos servidores CosmicDuke analisados teve uma longa lista de vítimas (139 IPs únicos) a partir de abril de 2012. Em termos de distribuição geográfica e de 10 países mais atacados as vítimas pertencem à Geórgia, Rússia, EUA, Grã-Bretanha, Cazaquistão, Índia, Bielorrússia, Chipre, Ucrânia e Lituânia. Os criminosos também estavam interessados em expandir suas operações e escanear faixas de IPs e servidores da República do Azerbaijão, Grécia e Ucrânia.

Plataforma comercial. As vítimas mais incomuns descobertas eram indivíduos que pareciam estar envolvidos no tráfico e revenda de substâncias controladas e ilegais, como esteroides e hormônios. Essas vítimas foram observadas apenas na Rússia.

"É um pouco inesperado - normalmente, quando ouvimos sobre APTS, pensamos que são campanhas de espionagem cibernética não apoiadas por governos. Mas vemos duas explicações para isso. Uma possibilidade é que a plataforma de malware BotGenStudio usada no Miniduke também está disponível como uma ferramenta"spyware legal", como o RCS da HackingTeam, amplamente utilizado pela aplicação da lei. Outra possibilidade é que o malware simplesmente está disponível no submundo e é comprado por vários concorrentes no negócio farmacêutico para espionar uns aos outros”, comentou Vitaly Kamluk, principal pesquisador de segurança no Global Research & Analysis Team da Kaspersky Lab.




Fonte: Kaspersky 

Nenhum comentário:

Postar um comentário