Conforme os alvos e a região, os cibercriminosos estão usando iscas que vão desde textos com aparência oficial até artigos de notícias e anúncios de emprego. Os pesquisadores acreditam que a motivação dessas campanhas é a ciberespionagem, cujo objetivo é roubar informações confidenciais de governos, bancos e outras instituições financeiras e de empresas de energia. Os atacantes e suas vítimas não estão concentrados em uma única região, mas estão dispersos por todo o mundo, incluindo América Latina, Oriente Médio e Ásia.

Em uma nova análise, a Check Point Research apresenta o perfil de três grupos APT, denominados El Machete, Lyceum e SideWinder, que foram descobertos recentemente realizando campanhas de spear-phishing visando vítimas em cinco países diferentes.

Nome do APT:

El Machete: Origem de países que falam espanhol; setores aos quais se destina são financeiro, governo; países-alvo são Nicarágua, Venezuela.

Lyceum: Origem da República Islâmica do Irã; setor ao qual se destina é Energia; países-alvo são Israel, Arábia Saudita.

SideWinder: Origem possivelmente da Índia; setor ao qual se destina é desconhecido; país-alvo é o Paquistão.

Características do malware

A Check Point Research analisou cada malware associado a cada um dos três grupos APT, especialmente para essas atividades de ciberespionagem. As capacidades do malware referem-se a:

. Keylogging: rouba tudo o que o usuário digita usando o teclado.
. Coleta de credenciais – coleta credenciais armazenadas nos navegadores Chrome e Firefox.
. Coleta de arquivos: reúne informações sobre os arquivos de cada unidade e coleta seus nomes e tamanhos, permitindo o roubo de arquivos específicos.
. Captura de tela.
. Coleta de dados da área de transferência.
. Execução de comandos.

Metodologia de ataque

El Machete
1. Disseminação por e-mail de campanhas de spear-phishing com texto sobre a Ucrânia.
2. Documento do Word anexado com um artigo sobre a Ucrânia.
3. O documento inclui uma macro maliciosa que baixa uma sequência de arquivos.
4. O malware é baixado no PC.

Lyceum
1. E-mail com conteúdo sobre crimes de guerra na Ucrânia e um link para um documento malicioso hospedado em um site.
2. O documento executa um código de macro quando o documento é fechado.
3. O arquivo exe (executável) é salvo no computador.
4. Na próxima vez que o computador for reiniciado, o malware será executado.

SideWinder
1. Documento malicioso é aberto pela vítima.
2. Quando é aberto, o documento recupera um template remoto a partir de um servidor controlado pelo atacante.
3. O template externo baixado é um arquivo RTF que explora a vulnerabilidade CVE-2017-11882.
4. O malware chega ao computador da vítima.

“No momento, verificamos uma variedade de campanhas APT que utilizam o tema da atual guerra na distribuição de malware. As campanhas são altamente direcionadas e sofisticadas, com foco em vítimas nos setores governamental, financeiro e de energia. Em nossa análise mais recente, traçamos o perfil e mostramos exemplos de três grupos diferentes de APT, todos originários de diversas partes do mundo que têm orquestrado essas campanhas de spear-phishing”, informa Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software.

“Estudamos de perto o malware envolvido e encontramos recursos que abrangem keylogging, captura de tela e muito mais. Tenho forte convicção de que essas campanhas são projetadas com a motivação central da espionagem cibernética. Nossas descobertas revelam uma tendência clara de que a guerra entre a Rússia e a Ucrânia se tornou o tema de escolha para servir como isca para grupos de ameaças em todo o mundo. Nossa recomendação é que essencialmente os governos, os bancos e as empresas de energia reiterem a conscientização e a educação cibernética aos funcionários e implementem soluções de segurança cibernética que protejam a rede em todos os níveis”, ressalta Shykevich.

Ciberataques no mundo em torno da guerra do Leste-Europeu

A Check Point Research (CPR) compartilhou recentemente uma atualização das tendências de cibercrimes que se tem assistido enquanto decorre a guerra Rússia-Ucrânia. Um mês após do início da guerra (em 24 de fevereiro de 2022), tanto a Rússia como a Ucrânia viram o número de ciberataques aumentar, 10% e 17% respectivamente. A CPR constatou ainda que, a nível global, registou-se um aumento de 16% no número de ciberataques. Os pesquisadores da Check Point Software têm monitorado de perto o fluxo de ciberataques por região e, especificamente, nos países da OTAN.