A Kaspersky Lab descobriu recentemente uma nova campanha de ciberespionagem voltada para o mundo corporativo, chamada Grabit, que foi capaz de roubar mais de 10.000 arquivos de organizações de pequeno e médio porte baseadas, em sua maioria, na Tailândia, Índia e Estados Unidos. Na América do Sul, a campanha também foi detectada no Chile. Os setores-alvo incluem produtos químicos, nanotecnologia, educação, agricultura, mídia, construção e mais.
“Nós vemos um monte de campanhas de espionagem voltadas para empresas, organizações governamentais e outras entidades high profile, com pequenas e médias empresas raramente vistas nas listas de alvos. Porém, o Grabit mostra que não é apenas um jogo de “peixes grandes”. No mundo cibernético, cada organização, quer ela possua dinheiro, informação ou influência política, pode despertar interesse para um ou outro ator malicioso. O Grabit ainda está ativo, e é extremamente importante verificar a sua rede para garantir que você está seguro. Em 15 de maio, foi descoberto que um único módulo do Grabit foi capaz de roubar milhares de credenciais de contas de vítimas, de centenas de sistemas infectados. Esta ameaça não deve ser subestimada”, – diz Ido Noar, pesquisador sênior de segurança do time de pesquisa e análise global da Kaspersky Lab (GReAT, na sigla em inglês).
A infecção começa com um empregado em uma organização empresarial que recebe um e-mail com um anexo que parece ser um arquivo do Microsoft Office Word (.doc). O usuário clica para fazer o download e o programa de espionagem é entregue para a máquina a partir de um servidor remoto que foi invadido pelo grupo para servir como um hub de malware. Os atacantes controlam suas vítimas usando um módulo chamado HawkEye, uma ferramenta de espionagem comercial daHawkEyeProducts, e um módulo de configuração que contém uma série de Ferramentas de Administração Remota (RATs).
Para ilustrar a escala da operação, a Kaspersky Lab pode revelar o impacto de um módulo keylogger em apenas um dos servidores de comando e controle (C&C). O keylogger foi capaz de roubar 2887 senhas, 1053 e-mails e 3023 nomes de usuários de 4928 hospedeiros diferentes, interna e externamente, incluindo Outlook, Facebook, Skype, Gmail, Pinterest, Yahoo, LinkedIn e Twitter, bem como de contas bancárias e outros.
Um Grupo Irregular de Cibercriminosos
Por um lado, os criminosos do Grabit não se esforçam muito para esconder a sua atividade: algumas amostras maliciosas usaram o mesmo servidor de hospedagem, e até as mesmas credenciais, minando sua operação maliciosa. Por outro lado, os atacantes usam técnicas de mitigação fortes para manter seu código escondido dos olhos dos analistas. Como resultado, a Kaspersky Lab acredita que por trás da operação está um grupo irregular, com alguns membros mais técnicos que estão focados em ser indetectáveis mais do que outros. A análise de especialistas sugere que quem quer que tenha programado o malware não escreveu o código inteiro a partir do zero.
Sobre a Kaspersky Lab
A Kaspersky Lab é o maior fornecedor de capital fechado do mundo de soluções de Proteção de Endpoint. A empresa está classificada entre as quatro maiores do mundo fornecedoras de soluções de segurança para usuários de endpoint*. Ao longo de sua história de mais de 17 anos a Kaspersky Lab manteve-se como uma companhia inovadora em segurança de TI e fornecedora de soluções de segurança digital eficazes para grandes empresas, PMEs e consumidores finais. A Kaspersky Lab, tem sua holding registrada no Reino Unido e atualmente opera em cerca de 200 países e territórios em todo o mundo, fornecendo proteção para