A Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky Lab descobriu várias infecções por um cavalo de Troia desconhecido que, provavelmente, está relacionado ao agente de ameaças de idioma chinês, o Grupo LuckyMouse.
A característica mais singular desse malware é seu driver específico, assinado usando um certificado digital legítimo emitido por uma empresa que desenvolve software relacionado à segurança de informações.
Grupo LuckyMouse usa certificado legítimo nas assinaturas de malware
O Grupo LuckyMouse é conhecido pelos ataques cibernéticos altamente direcionados a grandes entidades de todo o mundo. A atividade do grupo representa perigo para regiões inteiras, incluindo o sudeste e o centro da Ásia, pois seus ataques parecem ter uma pauta política.
A julgar pelos perfis das vítimas e vetores de ataques utilizados anteriormente pelo grupo, os pesquisadores da Kaspersky Lab acham que o cavalo de Troia que detectaram pode ter sido usado para espionagem virtual patrocinada por nações-estado.
O cavalo de Troia descoberto pelos especialistas da Kaspersky Lab infectou computadores-alvo por meio de um driver desenvolvido pelos agentes da ameaça. Ele permitia que os invasores executassem todas as tarefas comuns, como execução de comandos, download e upload de arquivos e interceptação do tráfego de rede.
O driver acabou sendo o elemento mais interessante dessa campanha. Para torná-lo confiável, aparentemente o grupo roubou um certificado digital pertencente a um desenvolvedor de software relacionado à segurança de informações para usar na assinatura das amostras de malware. Isso foi feito para evitar a detecção por soluções de segurança, pois uma assinatura legítima faz o malware parecer um software legal.
Outro aspecto notável do driver é que, embora o Grupo LuckyMouse tenha capacidade de criar seu próprio software malicioso, o programa usado no ataque parece ser uma combinação de amostras de código disponíveis em repositórios públicos e malware personalizado. A simples adoção de um código de terceiros pronto para uso, em vez de criar um código original, poupa o tempo dos desenvolvedores e dificulta a atribuição.
“Quase sempre, quando surge uma nova campanha do Grupo LuckyMouse, ela está sincronizada com a realização de um evento político importante, e o cronograma do ataque costuma preceder reuniões de líderes mundiais. O agente não se preocupa muito com a atribuição; como agora estão implementando amostras de código de terceiros em seus programas, é rápido adicionar mais uma camada em seus droppers ou desenvolver uma modificação do malware e, ainda assim, não ser rastreados”, observa Denis Legezo, pesquisador de segurança da Kaspersky Lab.
Como as empresas e organizações podem se proteger:
– Não confie automaticamente no código que é executado em seus sistemas. Certificados digitais não garantem a ausência de backdoors;
– Use uma solução de segurança eficiente, equipada com tecnologias de detecção de comportamento malicioso capazes de identificar até ameaças anteriormente desconhecidas;
– Inscreva a equipe de segurança de sua organização em um serviço de relatórios de inteligência de ameaças de qualidade para obter acesso imediato a informações sobre as evoluções mais recentes em termos de táticas, técnicas e procedimentos de agentes de ameaças sofisticadas.
Mais detalhes técnicos estão disponíveis no Securelist.com.
Fonte: Kaspersky Brasil
O post Grupo LuckyMouse usa certificado legítimo nas assinaturas de malware apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br