Malware é capaz de infectar executáveis portáteis encontrados em dispositivos de armazenamento removíveis, como pendrives
Uma nova estrutura de espionagem cibernética foi descoberta por pesquisadores da empresa de segurança cibernética ESET. Apelidada de “Ramsay”, a estrutura parece ter sido criada para exfiltrar e coletar documentos confidenciais de sistemas air-gapped, ou seja, que não estão conectados à internet ou a outros sistemas online. Os sistemas air-gapped são muito comuns em órgãos governamentais ou operações que exijam alto nível de confidencialidade justamente por não terem nenhum tipo de conexão com redes públicas ou com a internet.
A ESET acredita que essa estrutura está em processo de desenvolvimento, porque, de acordo com seus pesquisadores, até o momento houve apenas um pequeno número de vítimas. Documentos maliciosos descobertos durante as pesquisas da estrutura e enviados para mecanismos de sandbox públicas (geralmente desenvolvidas para simular o ambiente real de uma empresa) com títulos como “access_test.docx” ou “Test.docx” parecem confirmar essa suposição da empresa.
Veja isso
Spear-phishing é principal vetor de crimes cibernéticos
Phishing visa permissões de administrador do Office 365
Os pesquisadores se depararam com a estrutura de espionagem cibernética anteriormente não relatada enquanto estudavam uma amostra de dados suspeitos. Os metadados em idioma coreano foram descobertos nos documentos maliciosos utilizados pela Ramsay, denotando o uso de modelos baseados em padrão semântico coreano.
“Inicialmente, encontramos uma instância do Ramsay em uma amostra do VirusTotal enviada do Japão que nos levou à descoberta de outros componentes e outras versões da estrutura, além de evidências substanciais sugerirem que a estrutura ainda está em um estágio de desenvolvimento, com vetores de entrega sujeitos a testes mais refinados”, explicou Alexis Dorais-Joncas, chefe da equipe de pesquisa da ESET em Montreal, em entrevista à imprensa internacional.
Apesar de seu aparecimento ser relativamente recente na cena digital de espionagem, o Ramsay já tem várias versões. Os pesquisadores observaram que as variantes descobertas do Ramsay diferem em complexidade e sofisticação, com a terceira versão mais recente sendo a mais avançada, especialmente no que diz respeito à evasão e persistência.
A ESET diz ter identificado três versões do Ramsay, uma criada em setembro (Ramsey v1) e outras duas em março (Ramsey v2.q e v2.b), sugerindo que os criminosos estão agindo conforme as empresas identificam as ameaças.
“Os desenvolvedores encarregados dos vetores de ataque parecem estar tentando várias abordagens, como explorações antigas para vulnerabilidades do Word a partir de 2017, além de implantar trojans (cavalos de Troia) via spear-phishing”, escrevem os pesquisadores em um relatório.
A arquitetura da estrutura fornece uma série de recursos que inclui coleção de arquivos e armazenamento secreto, execução de comandos e disseminação de arquivos altamente agressivos.
Nas versões mais maduras do Ramsay, os pesquisadores observaram uma técnica chamada “Phantom DLL Hijacking”, que tira proveito do uso de compartimentos desatualizados por aplicativos Windows para alavancar versões maliciosas desses compartimentos. O objetivo principal do Ramsay é coletar todos os documentos existentes do Word no sistema de arquivos da vítima.
Dependendo da versão em execução, a coleção de arquivos é restrita à unidade do sistema local ou envolve uma pesquisa de unidades adicionais, como unidades de rede ou removíveis. Uma das versões descobertas pelos pesquisadores da ESET contém um módulo espalhador que é considerado altamente agressivo e é capaz de infectar executáveis portáteis encontrados em dispositivos de armazenamento removíveis, como pendrives.
