Num relatório recente sobre crimeware, os peritos da Kaspersky descreveram o AdvancedIPSpyware. É uma versão backdoored da ferramenta Advanced IP Scanner utilizada pelos administradores de rede para controlar as redes locais (LANs). A ferramenta maliciosa afetou um vasto público com vítimas na América Latina, África, Europa Ocidental, Ásia do Sul, Austrália, bem como nos países da CEI.
É adicionado um código malicioso ao software benigno para esconder a sua atividade nociva e enganar o utilizador é uma técnica que se tem tornado cada vez mais comum. O que não tem sido visto com tanta frequência é que o binário backdoor e é efetivamente assinado. Este é precisamente o caso do AdvancedIPSpyware, que é uma versão backdoor da ferramenta legítima Advanced IP Scanner utilizada pelos administradores de rede para controlar as LANs.
O certificado com o qual o malware foi assinado foi muito provavelmente roubado. O malware foi alojado em dois sites, cujos domínios são quase idênticos ao site legítimo Advanced IP Scanner, diferindo apenas por uma letra. Além disso, os sites têm o mesmo aspeto. A única diferença é o botão “download gratuito” nos sites maliciosos.
Outra característica invulgar do AdvancedIPSpyware é que a arquitetura é modular. Tipicamente, a arquitetura modular é vista com malware patrocinados por Estados-nação, não do género criminoso. Contudo, neste caso, os ataques não foram visados, o que leva a concluir que AdvancedIPSpyware não se refere a quaisquer campanhas de motivação política.
A campanha AdvancedIPSpyware tem uma vasta vitimologia com utilizadores afetados na América Latina, África, Europa Ocidental, Ásia do Sul, Austrália, bem como nos países da CEI. A contagem global de vítimas infetadas ao longo de toda a campanha é de cerca de 80.
Para além do AdvancedIPSpyware, o relatório do crimeware publicado na Securelist inclui as seguintes conclusões:
- BlackBasta, um grupo de ransomware descoberto no início de julho de 2022, acrescentou funcionalidades que dificultam a investigação forense e a deteção, pois o malware pode agora propagar-se através da própria rede.
- Os investigadores testemunharam novas características do CLoader, um ladrão descoberto pela primeira vez em abril de 2022. Utilizou jogos modificados e software como isco para enganar os usuários a instalar o malware. Os ficheiros descarregados eram instaladores NSIS, contendo código malicioso no script de instalação.
- Em agosto de 2022, foi descoberta uma campanha que tem estado ativa desde pelo menos janeiro de 2022 e que se centra em indivíduos de língua chinesa. Num popular canal de língua chinesa do YouTube, centrado no anonimato da Internet, foi carregado um vídeo dando instruções sobre como instalar o navegador Tor. Isto em si não é assim tão estranho, uma vez que o navegador Tor está bloqueado na China. Contudo, se um utilizador clicar no link da descrição, em vez do benigno navegador Tor, é descarregada uma versão infetada do navegador Tor.
“O e-mail é o método de infeção mais comum utilizado tanto por cibercriminosos como por estados nacionais. Desta vez, analisámos técnicas menos comuns utilizadas pelos cibercriminosos – ambas bem conhecidas e que se têm mantido fora de vista. Nomeadamente, o AdvancedIPSpyware destaca-se pela sua arquitetura invulgar, uso de ferramenta legítima, e cópia quase idêntica do website legítimo.”
Jornt van der Wiel, especialista em segurança da Kaspersky.
Para saber mais sobre AdvancedIPSpyware e outras descobertas de crimeware, leia o relatório em Securelist.com
Para se proteger e ao seu negócio de ataques ransomware, considere seguir estas recomendações Kaspersky:
- Não exponha os serviços remotos (como o RDP) a redes públicas a menos que seja absolutamente necessário e utilize sempre senhas fortes para eles.
- Instale rapidamente os patches disponíveis para soluções VPN comerciais, fornecendo acesso aos empregados remotos e atuando como gateways na sua rede.
- Mantenha sempre o software atualizado em todos os dispositivos que utiliza para evitar que o software ransomware explore as vulnerabilidades.
- Concentre a sua estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet. Preste especial atenção ao tráfego de saída para detetar ligações de cibercriminosos.
- Faça regularmente cópias de segurança dos dados. Certifique-se de que pode aceder rapidamente aos mesmos em caso de emergência, quando necessário.
- Utilize soluções como Kaspersky Endpoint Detection and Response Expert e Kaspersky Managed Detection and Response service, que ajudam a identificar e parar os ataques durante as fases iniciais, antes dos atacantes atingirem os seus objetivos finais.
- Eduque os seus funcionários a proteger o ambiente corporativo. Cursos de formação dedicados podem ajudar, tais como os fornecidos na Plataforma Kaspersky Automated Security Awareness.
- Utilize uma solução de segurança de endpoint fiável, como a Kaspersky Endpoint Security for Business, que é alimentada por prevenção de exploração, deteção de comportamento e um motor de remediação capaz de reverter ações maliciosas. A KESB também possui mecanismos de autodefesa, que podem impedir a sua remoção por cibercriminosos.
– Utilize as informações mais recentes da Threat Intelligence para ficar a par dos TTPs reais utilizados pelos atores da ameaça. O Portal The Kaspersky Threat Intelligence é um ponto de acesso único para a TI da Kaspersky, fornecendo dados de ciberataque e insights recolhidos pela nossa equipa durante quase 25 anos.
Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o acesso a informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso, sem qualquer custo.
👍🏻 Outros artigos interessantes:
