Hackers continuam a espiar PME

Embora os ataques mais sofisticados sejam normalmente o centro das atenções, as empresas enfrentam atualmente uma série de ameaças que são mais imediatas. Desde ataques de ransomware e fugas de dados a espionagem comercial, resultando em danos para as operações ou reputação das organizações. Estes ataques são levados a cabo por orquestradores de malware de nível médio e, por vezes, por grupos hacker-for-hire, tais como o DeathStalker, que a Kaspersky tem vindo a seguir desde 2018. 

O DeathStalker é um grupo de ameaça que se concentra principalmente na ciberespionagem contra escritórios de advogados e organizações do setor financeiro. O agente de ameaças é altamente adaptável e notável por utilizar uma abordagem interativa de ritmo acelerado ao design de software, tornando-os capazes de executar campanhas eficazes.

As recentes investigações da Kaspersky ligaram a atividade do grupo DeathStalker a três famílias de malware - Powersing, Evilnum e Janicab -, o que demonstra a amplitude da atividade do grupo praticada desde, pelo menos, 2012. Embora o Powersing tenha sido rastreado pelo fornecedor de segurança desde 2018, as outras duas famílias de malware foram reportadas por outros fornecedores de segurança cibernética. A análise das semelhanças de código e perfil das vítimas entre as três famílias de malware permitiu ao investigador vinculá-los uns aos outros com um grau de confiança médio.

As táticas, técnicas e procedimentos dos agentes de ameaças permaneceram inalterados ao longo dos anos: dependem de mensagens de correio eletrónico de spear-phishing personalizadas para entregar ficheiros que contêm documentos maliciosos. Quando o utilizador clica no atalho, um script malicioso é executado e descarrega outros componentes da Internet. Isto permite que os atacantes ganhem controlo sobre o computador da vítima.

Um dos exemplos é a utilização do Powersing, um implante baseado em Power-Shell que foi o primeiro malware detetado deste agente de ameaças. Assim que o sistema da vítima ficar infetado, o malware é capaz de guardar capturas de ecrã periódicas e executar roteiros de Powershell arbitrários. Ao utilizar métodos alternativos de persistência, dependendo da solução de segurança detetada num dispositivo infetado, o malware é capaz de não ser detetado, demonstrando a capacidade do grupo para realizar testes de deteção antes de cada campanha e atualizar os scripts de acordo com os resultados mais recentes.

Nas campanhas que utilizam Powersing, o DeathStalker emprega também um serviço público bem conhecido para se misturar nas comunicações iniciais de backdoor no tráfego legítimo da rede, limitando assim a capacidade dos defensores de dificultar as suas operações. Ao utilizar os "dead-drop resolvers" - anfitriões de informação que apontam para infraestruturas adicionais de comando e controlo - colocados numa variedade de meios de comunicação social legítimos, blogues e serviços de mensagens, o agente de ameaças consegue escapar à deteção e terminar rapidamente uma campanha. Uma vez infetadas, as vítimas seriam contactadas e redirecionadas por estes resolvers, ocultando assim a cadeia de comunicação.

A atividade do DeathStalker foi detetada em todo o mundo, o que demonstra a dimensão das suas operações. Foram identificadas atividades relacionadas com Powersing na Argentina, China, Chipre, Israel, Líbano, Suíça, Taiwan, Turquia, Reino Unido e Emirados Árabes Unidos. A Kaspersky também localizou vítimas do Evilnum no Chipre, Índia, Líbano, Rússia, e Emirados Árabes Unidos.

"O DeathStalker é um excelente exemplo de um agente de ameaças contra o qual as organizações do setor privado precisam de se defender. Embora nos concentremos frequentemente nas atividades realizadas pelos grupos APT, o DeathStalker lembra-nos que as organizações que não são tradicionalmente as mais conscientes da importância da segurança também precisam de estar cientes que podem ser alvos. Além disso, a julgar pela atividade contínua, acreditamos que o DeathStalker continue a ser uma ameaça que utilizará novas ferramentas para ter impacto nas organizações. Este agente, de certa forma, é a prova de que as pequenas e médias empresas precisam de investir também na formação em segurança e sensibilização", comenta Ivan Kwiatkowski, investigador de segurança sénior do GReAT da Kaspersky.

"Para permanecer protegido do DeathStalker, aconselhamos as organizações a não utilizar linguagens de scripting, tais como powerhell.exe e cscript.exe, sempre que possível. Também recomendamos que a formação futura de sensibilização e avaliações de produtos de segurança incluam cadeias de infeção baseadas em ficheiros LNK (shortcut)", acrescenta.