Descoberto ciberespião que rastreia empresas no Chile, Estados Unidos, Índia e Tailândia

A Kaspersky Lab descobriu recentemente uma nova campanha de ciberespionagem voltada para o mundo corporativo, chamada Grabit, que foi capaz de roubar mais de 10.000 arquivos de organizações de pequeno e médio porte baseadas, em sua maioria, na Tailândia, Índia e Estados Unidos. Na América do Sul, a campanha também foi detectada no Chile. Os setores-alvo incluem produtos químicos, nanotecnologia, educação, agricultura, mídia, construção e mais.

“Nós vemos um monte de campanhas de espionagem voltadas para empresas, organizações governamentais e outras entidades high profile, com pequenas e médias empresas raramente vistas nas listas de alvos. Porém, o Grabit mostra que não é apenas um jogo de “peixes grandes”. No mundo cibernético, cada organização, quer ela possua dinheiro, informação ou influência política, pode despertar interesse para um ou outro ator malicioso. O Grabit ainda está ativo, e é extremamente importante verificar a sua rede para garantir que você está seguro. Em 15 de maio, foi descoberto que um único módulo do Grabit foi capaz de roubar milhares de credenciais de contas de vítimas, de centenas de sistemas infectados. Esta ameaça não deve ser subestimada”, – diz Ido Noar, pesquisador sênior de segurança do time de pesquisa e análise global da Kaspersky Lab (GReAT, na sigla em inglês).

A infecção começa com um empregado em uma organização empresarial que recebe um e-mail com um anexo que parece ser um arquivo do Microsoft Office Word (.doc). O usuário clica para fazer o download e o programa de espionagem é entregue para a máquina a partir de um servidor remoto que foi invadido pelo grupo para servir como um hub de malware. Os atacantes controlam suas vítimas usando um módulo chamado HawkEye, uma ferramenta de espionagem comercial daHawkEyeProducts, e um módulo de configuração que contém uma série de Ferramentas de Administração Remota (RATs).

Para ilustrar a escala da operação, a Kaspersky Lab pode revelar o impacto de um módulo keylogger em apenas um dos servidores de comando e controle (C&C). O keylogger foi capaz de roubar 2887 senhas, 1053 e-mails e 3023 nomes de usuários de 4928 hospedeiros diferentes, interna e externamente, incluindo Outlook, Facebook, Skype, Gmail, Pinterest, Yahoo, LinkedIn e Twitter, bem como de contas bancárias e outros.

Por um lado, os criminosos do Grabit não se esforçam muito para esconder a sua atividade: algumas amostras maliciosas usaram o mesmo servidor de hospedagem, e até as mesmas credenciais, minando sua operação maliciosa. Por outro lado, os atacantes usam técnicas de mitigação fortes para manter seu código escondido dos olhos dos analistas. Como resultado, a Kaspersky Lab acredita que por trás da operação está um grupo irregular, com alguns membros mais técnicos que estão focados em ser indetectáveis mais do que outros. A análise de especialistas sugere que quem quer que tenha programado o malware não escreveu o código inteiro a partir do zero.