Especialistas da ESET, empresa de segurança baseada em Bratislava, República da Eslováquia, descobriram um malware projetado para atacar especialmente instalações aeroespaciais e militares, e que foi distribuído principalmente por meio do Linkedin.
Os atacantes, ainda não identificados, usaram a engenharia social via LinkedIn, com atrativos como ofertas de emprego atraentes. Tendo estabelecido uma posição inicial na rede, os atacantes implantaram seu malware personalizado – de vários estágios – juntamente com ferramentas de código aberto modificadas. Além do malware, eles usavam ferramentas e funções legítimas do sistema operacional. Várias técnicas foram usadas para evitar sua detecção, incluindo assinatura de código, recompilação regular do malware e representação de software e empresas legítimos.
A descoberta foi feita no final de 2019, após ataques direcionados contra empresas aeroespaciais e militares na Europa e algumas no Oriente Médio, entre setembro e dezembro. Uma investigação com duas das empresas européias afetadas permitiu aos especialistas da ESET conhecerem melhor a operação e descobrir o malware, que anteriormente não havia sido documentado.
Veja isso
Linkedin: executivos sob ataque de phishing
Inglaterra usa face e linkedin para espionar
Os resultados da investigação indicam que o objetivo principal da operação era espionagem. O relatório da ESET diz que “no entanto, em um dos casos que investigamos, os atacantes tentaram monetizar o acesso à conta de e-mail de uma vítima por meio de um ataque de comprometimento de e-mail comercial (BEC) como o estágio final da operação”.
Embora não tenham sido encontradas evidências sólidas de conexão dos ataques a um determinado ator de ameaça, foram descobertas várias pistas sugerindo um possível vínculo com o grupo Lazarus, incluindo semelhanças em técnicas de direcionamento, ambiente de desenvolvimento e anti-análise. Há suspeitas de que esse grupo tenha ligações com o governo da Coréia do Norte
Como parte da fase inicial de comprometimento, os atacantes criaram contas falsas no LinkedIn, se apresentando como representantes do RH de empresas conhecidas nos setores aeroespacial e de defesa. Foram registrados perfis representando a Collins Aerospace (anteriormente Rockwell Collins) e a General Dynamics, as principais corporações dos EUA nesse setor.
Com esses perfis configurados, os atacantes procuraram funcionários das empresas-alvo e enviaram mensagens com ofertas de emprego usando o recurso de mensagens do LinkedIn. Depois disso começavam a enviar documentos contaminados tanto pelo serviço de mensagens do Linkedin quanto pelo e-mail pessoal da vítima.
