A operação da Kaspersky Lab destaca como os agentes de ameaças em regiões emergentes estão a elaborar campanhas contra alvos de interesse, utilizando malware caseiro combinado com ferramentas que estão acessíveis ao público.
Neste caso particular, os hackers utilizaram uma versão melhorada do backdoor Remexi – uma ferramenta que possibilita a administração remota do computador da vítima.
O Remexi foi detectado pela primeira vez em 2015, ao ser usado por um grupo de ciberespionagem denominado ‘Chafer’ para uma operação de vigilância cibernética dirigida a pessoas e várias organizações em todo o Médio Oriente.
O facto do backdoor utilizado na nova campanha ter semelhanças ao nível do código com as amostras conhecidas do Remexi, associado ao conjunto de vítimas visadas, fez com que os investigadores da Kaspersky Lab o associassem ao Chafer com alguma certeza.
O recém-descoberto malware Remexi é capaz de executar comandos remotamente e apoderar-se de capturas de ecrã, dados do browser, incluindo credenciais de utilizadores, dados de login e histórico, além de qualquer texto digitado, entre outros.
Os dados roubados são extraídos com a aplicação legítima “Serviço de Transferência Inteligente em Segundo Plano” (BITS) da Microsoft, uma componente do Windows. A tendência de associação de malware com códigos apropriados ou legítimos ajuda os hackers a pouparem tempo e recursos ao criar o malware, além de tornar a atribuição mais complicada.
“Quando falamos em campanhas de espionagem cibernética provavelmente patrocinadas pelo Estado, muitas vezes as pessoas imaginam operações avançadas, com ferramentas complexas, desenvolvidas por especialistas. No entanto, as pessoas que estão por trás destas campanhas de spyware são mais parecidas com administradores de sistemas do que com agentes de ameaças sofisticadas: elas sabem como escrever o código, mas a campanha depende mais da utilização criativa de ferramentas que já existem do que de novos recursos avançados ou da elaboração da arquitectura do código. Contudo, mesmo as ferramentas relativamente simples podem causar prejuízos significativos”, afirmou Denis Legezo, Investigador de Segurança da Kaspersky Lab.
Via Kaspersky Lab.
