Os investigadores da Kaspersky descobriram uma campanha de ciberespionagem em curso que visava, inicialmente, uma entidade governamental no Médio Oriente. Investigações adicionais revelaram mais de 30 amostras de malware dropper utilizadas nesta campanha, expandindo a sua ação para a região da APAC, Europa e América do Norte. Denominado DuneQuixote, incorpora trechos de poemas espanhóis nas suas cadeias de malware para aumentar a persistência e evitar a deteção, com o objetivo final de ciberespionagem.

Como parte da monitorização contínua de atividades maliciosas, os especialistas da Kaspersky descobriram uma campanha de ciberespionagem, em fevereiro de 2024, que visava uma entidade governamental no Médio Oriente. Os atacantes espiavam secretamente esta entidade e recolhiam os dados sensíveis, através de um conjunto sofisticado de ferramentas concebidas para serem furtivas e persistentes.

Os droppers iniciais do malware disfarçam-se de ficheiros de instalação adulterados com origem numa ferramenta legítima denominada Total Commander. Nestes droppers, são incorporados versos de poemas espanhóis, com versos diferentes de uma amostra para outra. Esta variação tem o objetivo alterar a assinatura de cada amostra, tornando a deteção por metodologias tradicionais mais difícil.

Incoporado nos droppers está, também, um código malicioso concebido para descarregar cargas úteis adicionais sob a forma de uma backdoor denominada CR4T. As backdoors, desenvolvidas em C/C++ e GoLang, têm como objetivo conceder aos atacantes o acesso ao dispositivo da vítima.

"As variantes do malware mostram a adaptabilidade e engenho dos criminosos por trás desta campanha. De momento, descobrimos dois desses implantes, mas suspeitamos fortemente da existência de outros", destaca Sergey Lozhkin, investigador principal de segurança da Equipa Global de Investigação e Análise (GReAT) da Kaspersky.

A telemetria da Kaspersky identificou uma vítima no Médio Oriente em fevereiro de 2024. Adicionalmente, inúmeros uploads do mesmo malware ocorreram no final de 2023, para um serviço semipúblico de verificação de malware, registando mais de 30 submissões. Outras fontes suspeitas de pontos de saída de VPN estão localizadas na Coreia do Sul, Luxemburgo, Japão, Canadá, Países Baixos e EUA.

Para saber mais sobre a nova campanha DuneQuixote, consulte o website Securelist.com.

Para evitar ser vítima de um ataque direcionado por um cibercriminosos conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:

  • Forneça à equipa do seu centro de operações de segurança (SOC) o acesso à mais recente inteligência contra ameaças (TI). O Kaspersky Threat Intelligence Portal é um ponto de acesso único para as TI da empresa, fornecendo dados de ciberataques e conhecimentos recolhidos pela Kaspersky ao longo de mais de 20 anos.
  • Capacite a sua equipa de cibersegurança para enfrentar as mais recentes ameaças direcionadas através do Kaspersky online training, desenvolvida por especialistas GReAT.
  • Para deteção, investigação e correção atempada de incidentes nos endpoints, implemente soluções EDR como o Kaspersky Endpoint Detection and Response.
  • Além de adotar a proteção essencial dos endpoints, implemente uma solução de segurança empresarial que detete ameaças avançadas, ao nível da rede, numa fase inicial, como a Kaspersky Anti Targeted Attack Platform.
  • Uma vez que muitos ataques direcionados começam com um esquema de phishing ou outras técnicas de engenharia social, introduza a formação que se foque na sensibilização para a segurança e ensine as competências práticas à sua equipa - por exemplo, através da Kaspersky Automated Security Awareness Platform.

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, as infraestruturas mais críticas, Governos e consumidores por todo o mundo.

Classifique este item
(0 votos)
Ler 291 vezes
Tagged em
Top