Kaspersky Descobre Campanha de Ciberespionagem!

A equipa GREAT da Kaspersky Lab descobriu a Blue Termite, uma campanha de ciberespionagem dirigida a centenas de organizações no Japão durante pelo menos dois anos.

Os cibercriminosos procuravam informação confidencial e utilizavam um exploit zero-day no Flash Player e um backdoor que era personalizado para cada vítima. Esta é a primeira campanha descoberta pela Kaspersky Lab que se centra de forma exclusiva em alvos japoneses – e continua ativa.

Em outubro de 2014, os analistas da Kaspersky Lab encontraram uma amostra de malware nunca antes vista, que se destacava entre as demais devido à sua complexidade.

A lista de alvos inclui organizações não-governamentais, indústria pesada, química, sector financeiro, meios de comunicação, organizações educativas, do sector da saúde, indústria alimentar, entre outros.

Para infetar as suas vítimas, a Blue Termite utiliza várias técnicas. Antes de julho de 2015, para a maioria dos ataques era utilizada a técnica de spear-phishing, envio de software malicioso como ficheiro anexo a mensagens de e-mail com conteúdo atrativo para a vítima.

No entanto, em julho mudaram de táctica e começaram a difundir malware através de um exploit Flash zero-day (CVE-2015-5119, o exploit que foi libertado na sequência do incidente da Hacking Team no início deste Verão).

Os cibercriminosos comprometeram vários websites japoneses e os visitantes desses sites descarregavam automaticamente um exploit que infetava o equipamento. Esta técnica é conhecida pelo nome drive-by-download.

Após a infeção bem-sucedida, é implantado no equipamento um backdoor capaz de roubar passwords, descarregar e executar a carga útil adicional. Uma das coisas mais interessantes da Blue Termite é que dá a cada vítima uma amostra de malware único, criada para ser executada num PC específico. De acordo com os investigadores da Kaspersky Lab, isto foi feito assim para dificultar a análise do malware e sua detecção.

A pergunta sobre quem estará por detrás deste ataque continua sem resposta. Como a operação ainda está em curso, a investigação da Kaspersky Lab também prossegue.

 

Fonte: PCGuia

Compartilhar Esse Post