340 
São Paulo, 28 de janeiro de 2016 – Nos últimos sete meses a Unit 42, unidade de pesquisas da Palo Alto Networks, esteve investigando uma série de ataques atribuídos a um grupo apelidado de Scarlet Mimic. Os ataques começaram há quatro anos e seu padrão de direcionamento indica que o principal objetivo do grupo é reunir informações sobre ativistas dos direitos das minorias na China.
Não há evidências que liguem o Scarlet Mimic há fontes do governo, mas certamente trata-se de um grupo financiado e com muitos recursos, motivados por questões semelhantes às posições declaradas do governo chinês. A campanha leva este nome porque seu tráfego de comando e controle evitam a detecção ao imitar o Windows Messenger e o Yahoo Messenger, e seu ataque principal é feito com o FakeM, um shellcode que explora uma backdoor do Windows.
De acordo com a Palo Alto Networks, o FakeM vem evoluindo com a ajuda dos desenvolvedores do Scarlet Mimic. Os especialistas descobriram variantes FakeM que usam SSL para criptografar comunicações de comando e controle. Uma variante ainda usa um protocolo SSL personalizado que ignora a tradicional mensagem inicial (client hello message), na qual o cliente especifica a versão do protocolo SSL que deseja utilizar.
O Scarlet Mimic desenvolveu nove famílias diferentes de malware para entregar o FakeM e está ampliando seus ataques para mais plataformas. A Unit 42 descobriu também outras ferramentas compartilhando infraestrutura com FakeM – incluindo o trojan CallMe, desenvolvido para explorar Mac OSX; o Psylo, um downloader/uploader baseado em shellcode parecido com o FakeM, que compartilha infraestrutura com o MobileOrder, um trojan que compromete dispositivos Android. A conexão entre FakeM, Psylo, e MobileOrder sugere que o Scarlet Mimic está expandindo seus esforços de espionagem de PCs para dispositivos móveis, o que define uma grande mudança na tática.
O grupo utiliza o phishing direcionado, com uso intenso de documentos isca e ataques “watering holes” que funcionam como uma emboscada. Esses documentos incluem um press release do World Uyghur Congress, um gráfico comparando Vladimir Putin a Adolph Hitler, e um artigo do The New York Times sobre a apreensão das cinzas de um monge tibetano pela polícia chinesa.
Veja AQUI o relatório completo em inglês, com todos os detalhes das ferramentas, táticas e infraestrutura implementados pelo Scarlet Mimic.
Sobre a Palo Alto Networks
A Palo Alto Networks é a companhia de segurança de rede. Sua plataforma inovadora permite que empresas, provedores de serviços e entidades governamentais mantenham suas redes seguras permitindo com segurança o número crescente e complexo de aplicações rodando em suas redes. O núcleo da plataforma da Palo Alto Networks é seu Firewall de Última Geração, o qual entrega visibilidade de aplicativo, usuário e conteúdo e controle integrado com o firewall através de sua arquitetura proprietária de software. Os produtos e serviços da companhia correspondem a um grande número de necessidades de segurança em redes, do data center até a rede, assim como nas filiais e nos dispositivos móveis. Mais de 100 países utilizam os produtos da Palo Alto Networks. Para mais informações, visite: www.paloaltonetworks.com