Descoberta campanha mundial de multi-malware que visa organizações

No seu último relatório, a Kaspersky apresenta a descoberta de uma campanha mundial de “multi-malware” em curso, que já levou a cabo mais de 10 mil ataques dirigidos principalmente a organizações globais, utilizando backdoors, keyloggers e software de mineração para obter ganhos financeiros.

Um relatório recente do FBI revelou estes ataques, cujo objetivo é infetar as empresas com miners para utilizar os seus recursos para mineração, keyloggers para furtar dados e backdoors para obter acesso ao sistema. Desde então que os especialistas da Kaspersky têm acompanhado a campanha mundial, havendo descoberto que esta ainda se encontra em curso.

A campanha visa principalmente organizações, como do setor agrícola, comércio grossista e retalhista, assim como agências governamentais. No período entre maio e outubro, a telemetria da Kaspersky mostra que mais de 10 mil ataques afetaram um número superior a 200 utilizadores, sobretudo em países como a Rússia, Arábia Saudita, Vietname, Brasil e Roménia. No entanto, foram identificados ataques ocasionais também nos Estados Unidos, Índia, Marrocos e Grécia. 

A Kaspersky expôs os novos scripts maliciosos concebidos para desativar as funcionalidades de segurança e facilitar o descarregamento de malware, tendo como objetivo a exploração financeira. Estes scripts parecem infiltrar-se nos sistemas através da exploração de vulnerabilidades em servidores e estações de trabalho e, após a sua entrada, procuram manipular o Windows Defender, obter privilégios de administrador e perturbar a funcionalidade de vários produtos antivírus, explica a Kaspersky.

Posteriormente, os novos scripts tentam descarregar uma backdoor, um keylogger e um minerador a partir de um site, agora offline. O minerador aproveita os recursos do sistema para gerar várias criptomoedas, como o Monero (XMR). Entretanto, o keylogger capta toda a sequência de teclas premidas pelo utilizador no teclado e nos botões do rato. Por sua vez, a backdoor estabelece comunicação com um servidor de Comando e Controlo (C2) para receber e transmitir dados. Desta forma, o cibercriminoso consegue obter controlo remoto sobre o sistema comprometido. 

“Esta campanha multi-malware está a evoluir rapidamente com a introdução de novas modificações. A motivação dos atacantes parece estar enraizada na busca de ganhos financeiros por todos os meios possíveis. A nossa pesquisa especializada sugere que isto pode ir além da mineração de criptomoedas e pode envolver atividades como a venda de credenciais de login roubadas na dark web ou a execução de cenários avançados usando as capacidades da backdoor”, explica Vasily Kolesnikov, especialista em segurança da Kaspersky.