Os atacantes por trás desses ciberataques enviam documentos maliciosos sob o disfarce da Organização das Nações Unidas (ONU) e de uma falsa fundação de direitos humanos denominada "Fundação da Cultura e Herança Turca", a fim de enganar seus alvos para instalar um backdoor no software Microsoft Windows executado em computadores para espionagem.

Os cibercriminosos passaram a ocultar seus ataques de duas maneiras diferentes: por um lado, criando documentos nos quais pareciam ser da própria ONU, usando informações reais dessa organização para fazer com que parecessem autênticos. E, por outro lado, também criaram páginas na web em nome de empresas inexistentes que afirmavam financiar grupos de caridade.

Documentos falsos da ONU como ferramenta para infecções iniciais

As investigações começaram após um documento malicioso encontrado no serviço gratuito de varredura de malware VirusTotal chamado "UgyhurApplicationList.docx" com o logotipo do Conselho de Direitos Humanos das Nações Unidas (UNHRC) e contendo informações de uma assembleia geral da ONU em que as violações dos Direitos Humanos foram discutidos, o que fez o documento parecer autêntico.

Dois vetores de ataque

A Check Point Research e os pesquisadores da Kaspersky identificaram dois vetores de ataque:

1. Por meio de documentos enviados via e-mail. São enviados por e-mail documentos maliciosos cujo objetivo é baixar um backdoor no computador para o Windows que permite espionar o dispositivo.

2. Por meio de website de uma fundação falsa. O site procura convencer os visitantes a fazer download de um backdoor .NET, sob pretexto de um scanner de segurança. Depois, é solicitado ao usuário que forneça as informações pessoais necessárias à concretização de um suposto pedido de contribuição. Após o backdoor ter sido decodificado, ele foi nomeado "OfficeUpdate.exe" e armazenado no diretório% TEMP%.

Nos dois exemplos de "OfficeUpdate.exe" que os pesquisadores encontraram, a carga útil (payload) era um instalador de shellcode que usa técnicas básicas de evasão e anti-debugging usando funções como sleep e QueryPerformanceCounter .

O falso site da Comissão de Direitos Humanos da ONU

Uma análise mais detalhada do documento levou os especialistas a descobrir um site relacionado a uma fundação falsa que estava tentando atingir os uigures que queriam se inscrever para uma bolsa.

Os cibercriminosos criaram uma fundação de direitos humanos chamada TCAHF, que significa "Turkic Culture and Heritage Foundation", com a qual alegaram que a empresa financiava e apoiava grupos que trabalhavam em favor da cultura turca e de seus direitos humanos. No entanto, a maior parte do conteúdo da web foi copiado de uma página da web legítima com a URL "opensocietyfoundations.org".

A funcionalidade maliciosa do site do TCAHF está bem disfarçada e só aparece quando a vítima tenta se candidatar a uma bolsa. Assim que a ajuda é solicitada, o site afirma que deve garantir que o sistema operacional esteja seguro antes de incluir dados confidenciais para a transação, então solicita às vítimas que baixem um programa para escanear seus sistemas. Este site oferece duas opções de download, uma para MacOS e outra para Windows.

Os pesquisadores acreditam que esta campanha tem como alvo a minoria uigur ou as empresas que a apoiam. A telemetria das equipes de pesquisadores apoiou esta avaliação, já que apenas um grupo de vítimas foi identificado no Paquistão e na China, e em ambos os casos, as vítimas estavam em regiões predominantemente povoadas pela minoria uigur.

Embora nenhum código ou similaridade de infraestrutura tenha sido encontrado em qualquer grupo de ameaça conhecido, essa atividade é atribuída, com nível de confiança de baixa a média, a um cibercriminoso que fala o idioma chinês. Ao examinar as fontes maliciosas no documento entregue, os pesquisadores notaram que alguns trechos do código eram idênticos ao código VBA (Virtual Basic for Applications) que apareceu em vários fóruns chineses e poderiam ter sido copiados diretamente deles.

"O que vemos aqui são ciberataques contra os uigures. Esses ataques claramente utilizam o tema do conselho de direitos humanos da ONU para enganar seus alvos e fazer com que baixem malware malicioso", diz Lotem Finkelsteen, head de Inteligência de Ameaças da Check Point Software Technologies. "Acreditamos que esses ataques cibernéticos sejam motivados por espionagem, sendo o golpe final a instalação de um backdoor nos computadores das personalidades de destaque da comunidade Uigur. Os ataques são projetados para impressões digitais de dispositivos infectados, incluindo todos os seus programas em execução. Podemos dizer que esses ataques estão em andamento e uma nova infraestrutura está sendo criada para o que parece ser destinada a futuros ataques", finaliza Finkelsteen.