=======.=.=.= =---____--------- ---------____------------____::_____ _____= =..= = =..= =..= = =____ _____::____--------------______--------- -----------____---.=.=.=.= ====
Microsoft e Trend Micro identificaram novas ferramentas de ataque empregadas por um grupo de invasores contra alvos no Vietnã. ===+===.=.=.= =---____--------- ---------____------------____::_____ _____= =..= = =..= =..= = =____ _____::____-------------______--------- ----------____---.=.=.=.= +====
Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
03/12/2020 11h49 Atualizado há 10 horas
Postado em 03 de dezembro de 2020 às 21h50m
*.- Post.N. -\- 3.895 -.*
Empresas descrevem técnicas usadas para despistar profissionais de segurança. — Foto: Simon Stratford/Freeimages
Especialistas em segurança da Microsoft e da Trend Micro detalharam novas técnicas de ataque usadas por um grupo de espiões digitais que vêm atuando contra alvos no Vietnã.
A Microsoft apontou que esses invasores podem instalar mineradores de criptomoeda para despistar os times de segurança das organizações, enquanto a Trend Micro analisou um software espião para macOS que se disfarça de documento do Word.
Embora cada empresa tenha divulgado um relatório próprio sobre suas descobertas e não haja indício de colaboração entre elas, ambas mencionaram que as técnicas foram empregadas pelo grupo de invasores conhecido como "APT32".
A Trend Micro usa o codinome "OceanLotus" para descrever esse grupo, enquanto a Microsoft se refere a eles como "Bismuth".
Outra semelhança entre os casos descritos pela Microsoft e pela Trend Micro está nos alvos atingidos: organizações no Vietnã.
Fora disso, contudo, os casos são muito diferentes. A Microsoft estudou um ataque que atingiu computadores com Windows, utilizando uma série de técnicas específicas para ocultar a atividade dos invasores nesse sistema operacional.
A Trend Micro, por sua vez, detalhou o funcionamento de um programa espião para o macOS, da Apple.
No macOS, invasores se aproveitam de extensão falsa
O ataque identificado pela Trend Micro utilizou um truque para esconder um programa malicioso de macOS em um suposto documento do Microsoft Word.
Embora o arquivo pareça ter a extensão ".doc", ele na realidade possui um caractere invisível que faz com que o sistema não reconheça a extensão visível para o usuário.
Como o macOS não reconhece a extensão, o arquivo passa a ser aberto pelo interpretador de comandos do sistema – na prática, o arquivo se transforma em um programa.
Para completar o disfarce, os criminosos injetaram um ícone falso no programa, deixando-o com a mesma aparência de um documento de Word.
Após ser executado, o programa instala o software espião no sistema e então abre um arquivo do Word para que a vítima não suspeite que foi alvo de um ataque.
Apesar da engenhosidade desse truque, ele pode ser facilmente replicado por outros invasores – o que significa que usuários precisam ter muito cuidado ao abrir arquivos aparentemente benignos.
Minerador de criptomoeda para despistar técnicos
O ataque contra Windows descrito pela Microsoft utiliza uma série de técnicas conhecidas para se ocultar no sistema, em especial a execução por "dentro" de programas conhecidos, inclusive o próprio antivírus Defender incluído no Windows.
Ou seja, mesmo que a vítima confira o "Gerenciador de Tarefas" do Windows – que mostra os programas em execução –, ela não suspeitará da presença do vírus.
No entanto, os especialistas da empresa chamaram atenção para outro detalhe: a instalação de um minerador de criptomoeda.
Mineradores de criptomoeda se aproveitam do poder de processamento do computador invadido para contribuir com a mineração de criptomoeda em benefício do invasor.
Na prática, eles conseguem transformar o poder de processamento e a energia elétrica da vítima em um benefício financeiro para o invasor.
Como esses ataques são muito comuns, a Microsoft acredita que o objetivo dos invasores é despistar os técnicos que estiverem investigando esses ataques.
Segundo essa hipótese, os times responsáveis pela análise da invasão considerariam que o ataque é de baixa sofisticação – uma invasão "corriqueira" – após encontrar um programa malicioso com esse tipo de característica.
Induzindo os profissionais ao erro, o programa de espionagem poderia evitar uma investigação mais aprofundada. Na pior das hipóteses, a organização atacada poderia não perceber que seus dados foram roubados pelo software espião.
A Microsoft recomenda que as instituições levem isso em conta ao investigar ataques e códigos maliciosos encontrados em seus computadores.
Quem é o 'OceanLotus'
Ativo pelo menos desde 2012, o grupo que a Trend Micro chama de "OceanLotus" também já foi chamado de "SeaLotus" e de "Cobalt Kitty" no passado.
O nome "Cobalt Kitty" é uma derivação de um software comercial destinado a equipes que realizam testes de invasão e que já foi utilizado por esses invasores – eles são conhecidos por misturar ferramentas comerciais e próprias em suas ações.
O nome "Bismuth" (bismuto), adotado pela Microsoft, segue o padrão da fabricante do Windows de batizar os grupos de espiões digitais com nomes de elementos químicos.
De acordo com a Microsoft, esse grupo redige e-mails sob medida para as vítimas e até se corresponde com elas para criar um vínculo de confiança antes de enviar os arquivos maliciosos que darão início à invasão e, por sua vez, a captura de dados da rede do alvo. Pela forma de atuação, é considerado um grupo de "ameaça avançada".
Ataques do OceanLotus já foram registrados contra empresas privadas e instituições governamentais. Recentemente, a consultoria Recorded Future detalhou um ataque realizado contra o governo do Camboja.
Especialistas já vincularam as atividades desse grupo aos interesses do Vietnã, levantando inclusive a hipótese de que os responsáveis por essas ações seriam financiados pelo governo vietnamita.
Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------