Documentos falsos e mineradores de criptomoedas: especialistas identificam técnicas que 'ocultam' invasões de hackers do Vietnã

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Microsoft e Trend Micro identificaram novas ferramentas de ataque empregadas por um grupo de invasores contra alvos no Vietnã.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====

Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
03/12/2020 11h49 Atualizado há 10 horas
Postado em 03 de dezembro de 2020 às 21h50m

  *.- Post.N. -\- 3.895 -.*  

Empresas descrevem técnicas usadas para despistar profissionais de segurança. — Foto: Simon Stratford/Freeimages

Especialistas em segurança da Microsoft e da Trend Micro detalharam novas técnicas de ataque usadas por um grupo de espiões digitais que vêm atuando contra alvos no Vietnã.

A Microsoft apontou que esses invasores podem instalar mineradores de criptomoeda para despistar os times de segurança das organizações, enquanto a Trend Micro analisou um software espião para macOS que se disfarça de documento do Word.

Embora cada empresa tenha divulgado um relatório próprio sobre suas descobertas e não haja indício de colaboração entre elas, ambas mencionaram que as técnicas foram empregadas pelo grupo de invasores conhecido como "APT32".

A Trend Micro usa o codinome "OceanLotus" para descrever esse grupo, enquanto a Microsoft se refere a eles como "Bismuth".

Outra semelhança entre os casos descritos pela Microsoft e pela Trend Micro está nos alvos atingidos: organizações no Vietnã.

Fora disso, contudo, os casos são muito diferentes. A Microsoft estudou um ataque que atingiu computadores com Windows, utilizando uma série de técnicas específicas para ocultar a atividade dos invasores nesse sistema operacional.

A Trend Micro, por sua vez, detalhou o funcionamento de um programa espião para o macOS, da Apple.

No macOS, invasores se aproveitam de extensão falsa

O ataque identificado pela Trend Micro utilizou um truque para esconder um programa malicioso de macOS em um suposto documento do Microsoft Word.

Os espiões se aproveitaram de uma particularidade técnica na maneira que computadores processam texto para fazer com que um arquivo ".doc", que normalmente seria aberto pelo Word, fosse executado como um programa.

Embora o arquivo pareça ter a extensão ".doc", ele na realidade possui um caractere invisível que faz com que o sistema não reconheça a extensão visível para o usuário.

Como o macOS não reconhece a extensão, o arquivo passa a ser aberto pelo interpretador de comandos do sistema – na prática, o arquivo se transforma em um programa.

Para completar o disfarce, os criminosos injetaram um ícone falso no programa, deixando-o com a mesma aparência de um documento de Word.

Após ser executado, o programa instala o software espião no sistema e então abre um arquivo do Word para que a vítima não suspeite que foi alvo de um ataque.

Apesar da engenhosidade desse truque, ele pode ser facilmente replicado por outros invasores – o que significa que usuários precisam ter muito cuidado ao abrir arquivos aparentemente benignos.

Minerador de criptomoeda para despistar técnicos

O ataque contra Windows descrito pela Microsoft utiliza uma série de técnicas conhecidas para se ocultar no sistema, em especial a execução por "dentro" de programas conhecidos, inclusive o próprio antivírus Defender incluído no Windows.

Ou seja, mesmo que a vítima confira o "Gerenciador de Tarefas" do Windows – que mostra os programas em execução –, ela não suspeitará da presença do vírus.

No entanto, os especialistas da empresa chamaram atenção para outro detalhe: a instalação de um minerador de criptomoeda.

Mineradores de criptomoeda se aproveitam do poder de processamento do computador invadido para contribuir com a mineração de criptomoeda em benefício do invasor.

Na prática, eles conseguem transformar o poder de processamento e a energia elétrica da vítima em um benefício financeiro para o invasor.

Como esses ataques são muito comuns, a Microsoft acredita que o objetivo dos invasores é despistar os técnicos que estiverem investigando esses ataques.

Segundo essa hipótese, os times responsáveis pela análise da invasão considerariam que o ataque é de baixa sofisticação – uma invasão "corriqueira" – após encontrar um programa malicioso com esse tipo de característica.

Induzindo os profissionais ao erro, o programa de espionagem poderia evitar uma investigação mais aprofundada. Na pior das hipóteses, a organização atacada poderia não perceber que seus dados foram roubados pelo software espião.

A Microsoft recomenda que as instituições levem isso em conta ao investigar ataques e códigos maliciosos encontrados em seus computadores.

Quem é o 'OceanLotus'

Ativo pelo menos desde 2012, o grupo que a Trend Micro chama de "OceanLotus" também já foi chamado de "SeaLotus" e de "Cobalt Kitty" no passado.

O nome "Cobalt Kitty" é uma derivação de um software comercial destinado a equipes que realizam testes de invasão e que já foi utilizado por esses invasores – eles são conhecidos por misturar ferramentas comerciais e próprias em suas ações.

O nome "Bismuth" (bismuto), adotado pela Microsoft, segue o padrão da fabricante do Windows de batizar os grupos de espiões digitais com nomes de elementos químicos.

De acordo com a Microsoft, esse grupo redige e-mails sob medida para as vítimas e até se corresponde com elas para criar um vínculo de confiança antes de enviar os arquivos maliciosos que darão início à invasão e, por sua vez, a captura de dados da rede do alvo. Pela forma de atuação, é considerado um grupo de "ameaça avançada".

Ataques do OceanLotus já foram registrados contra empresas privadas e instituições governamentais. Recentemente, a consultoria Recorded Future detalhou um ataque realizado contra o governo do Camboja.

Especialistas já vincularam as atividades desse grupo aos interesses do Vietnã, levantando inclusive a hipótese de que os responsáveis por essas ações seriam financiados pelo governo vietnamita.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------

IBM diz que processo de transporte de vacinas contra Covid-19 é alvo de hackers

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Cibercriminosos enviaram e-mails falsos para empresas envolvidas na logística das doses. Empresa não revelou se o ataque teve algum sucesso.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====
Por G1  
03/12/2020 12h22 Atualizado há 9 minutos
Postado em 20 de dezembro de 2020 às 12h40m

  *.- Post.N. -\- 3.894 -.*  

Hackers tentaram obter informações sobre processo de logística da vacina contra Covid-19. — Foto: REUTERS/Dado Ruvic

A IBM emitiu um alerta nesta quinta-feira (3) sobre hackers que visam empresas essenciais para a distribuição de vacinas contra Covid-19.

A empresa disse em publicação em seu blog que descobriu "uma campanha global de phishing" (um tipo de golpe que tenta enganar as pessoas por meio de e-mails falsos) focada em organizações associadas à "cadeia fria" da vacina contra Covid-19 – mas não indicou se ela foi bem-sucedida.

A "cadeia fria" é o processo necessário para manter as doses da vacina em temperaturas extremamente baixas, enquanto são transportadas. Vacinas como a desenvolvida pela Pfizer e BioNTech, por exemplo, precisam ser mantida a menos 70 graus Celsius.

• Saiba mais: Insumos, aprovação e transporte. Veja o caminho até a vacinação contra a Covid-19

A unidade de cibersegurança da IBM afirmou ter detectado um grupo avançado de hackers trabalhando para coletar informações sobre diferentes aspectos desse processo de logística.

Para isso, os hackers usaram e-mails meticulosamente elaborados com armadilhas eletrônicas enviados em nome de um executivo da Haier Biomedical, uma empresa chinesa especializada em transporte de vacinas e armazenamento de amostras biológicas.

O objetivo dos criminosos era obter credenciais de login dessas companhias para ter acesso a "redes corporativas e informações sensíveis sobre a distribuição da vacina", segundo os pesquisadores.

O relatório sugere que os invasores poderiam roubar informações, obter detalhes sobre tecnologia e contrato, criar confusão e desconfiança nas vacinas ou até mesmo perturbar o esquema de logística.

Os hackers realizaram "um esforço excepcional", disse a analista da IBM Claire Zaboeva, que ajudou a produzir o relatório. Eles pesquisaram a marca, o modelo e o preço correto de várias unidades de refrigeração da Haier, afirmou Zaboeva.

A IBM não revelou se a campanha teve algum sucesso, e disse que a coordenação do ataque sugere que houve participação de alguma nação, sem apontar para nenhum país específico.

Entre os alvos do ataque estavam um órgão de fiscalização aduaneira da Comissão Europeia e empresas de diversos países.

A IBM não apresentou os nomes das companhias afetadas, mas disse que todas provavelmente estavam associadas com um programa de logística liderada pela Gavi, uma aliança internacional de vacinação.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos também publicou o relatório, alertando os membros da Warp Speed – a operação nacional de vacinação do governo dos Estados Unidos – para ficarem atentos.

Na quarta-feira (2), a Interpol emitiu um alerta solicitando que forças de segurança de todo o mundo se preparem para lidar com ações criminosas relacionadas às vacinas.

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------