Desde pelo menos o ano de 2012, um grupo de ciber mercenários vem espionando pequenas e médias empresas de advocacia e finanças do mundo inteiro, utilizando um APT (advanced persistent threat) batizado como “DeathStalker”, revelou a Kaspersky na última sexta-feira. Segundo a empresa, seus especialistas descobriram que o grupo, agora também conhecido como “DeathStalker”, ataca da Europa à América Latina e o vem rastreando desde 2018.
O grupo se tornou notável entre os especialistas pela sua alta adaptabilidade, e por usar uma abordagem interativa e rápida para desenvolvimento de software, o que torna o capaz de executar campanhas eficazes.
Veja isso
Kaspersky explica reinstalação de malware mesmo após factory reset
Stefanini vai implantar SOCs com tecnologia da Kaspersky
As recentes investigações da Kaspersky ligaram a atividade do DeathStalker a três famílias de malware – Powersing, Evilnum e Janicab –, indicando que a atividade do grupo está em prática desde, pelo menos, 2012. Embora o Powersing seja rastreado pela Kaspersky desde 2018, as outras duas famílias de malware foram reportadas anteriormente por outras empresas de cibersegurança. As semelhanças de código e o perfil das vítimas das três famílias de malware permitiu aos analistas associá-los uns aos outros, com um grau de confiança médio.
As táticas, técnicas e procedimentos do grupo, especializado em ciberameaças, permaneceram inalterados ao longo dos anos: para entregar arquivos maliciosos, utilizam mensagens de phishing personalizadas. Quando a vítima clica no anexo, um script malicioso é executado e descarrega outros componentes do golpe. Isso permite que os atacantes ganhem controle sobre o computador atacado.
Um dos exemplos é a utilização do Powersing, um implante baseado no Power-Shell, que foi o primeiro malware detectado deste grupo especializado. Assim que o sistema da vítima é infectado, o malware é capaz de armazenar capturas de tela e executar outros scripts Powershell. Ele ainda utiliza diferentes métodos para se manter escondido no sistema, dependendo da solução de segurança que ele detecta no dispositivo infectado, o que demonstra a capacidade do grupo para realizar testes de detecção antes de cada campanha e atualizar os scripts de acordo com os resultados mais recentes.
Nas campanhas que utilizam Powersing, o DeathStalker emprega também um serviço público bem conhecido para se misturar às comunicações iniciais de backdoor no tráfego legítimo da rede, limitando, assim, a capacidade de detecção de suas operações. Ao utilizar os “dead-drop resolvers” – anfitriões de informação que apontam para infraestruturas adicionais de comando e controle –, colocados numa variedade de meios de comunicação social legítimos, blogues e serviços de mensagens, o grupo consegue evitar a detecção e encerrar rapidamente uma campanha. Uma vez infectadas, as vítimas seriam contactadas e redirecionadas por estes resolvers, ocultando assim a cadeia de comunicação.
A atividade do DeathStalker foi dectetada em todo o mundo, o que demonstra a dimensão das suas operações. Foram identificadas atividades relacionadas com Powersing na Argentina, China, Chipre, Israel, Líbano, Suíça, Taiwan, Turquia, Reino Unido e Emirados Árabes Unidos. A Kaspersky também localizou vítimas do Evilnum no Chipre, Índia, Líbano, Rússia, e Emirados Árabes Unidos.