Os investigadores da Kaspersky deram a conhecer as suas conclusões sobre a DarkUniverse, uma ameaça persistente avançada (APT) que esteve activa pelo menos durante oito anos, de 2009 a 2017, e que foi utilizada para ataques dirigidos, cujos objectivos estavam em países distintos de África e Médio Oriente.
Este malware, que se propagou através de spear phishing, contém módulos capazes de recolher todo o tipo de informação sobre os utilizadores e sobre o sistema infectado, durante um período de tempo prolongado, tais como registo das teclas, capturas de ecrã, e dados de servidores remotos e recursos partilhados pelas vítimas.
Alexander Fedotov, analista de malware da Kaspersky, comentou: “O caso da DarkUniverse é realmente curioso, uma vez que as amostras observadas desde 2017 são totalmente diferentes das amostras iniciais recolhidas em 2009, o que significa que os atacantes tiveram engenho e recursos suficientes para manter o malware actualizado. Para além disso, as sobreposições de um código único permitem-nos afirmar, com um nível de confiança médio, que os criadores da DarkUniverse estavam conectados com a ItaDuke, que foi detectada pela primeira vez em 2013, e utilizava exploits PDF para introduzir malware, como também contas de Twitter para armazenar URLs de servidores de comando e controlo. A suspensão das operações da DarkUniverse pode estar relacionada com a publicação do ficheiro “Lost in Translation” ou, por outro lado, os atacantes podem simplesmente ter decidido avançar para abordagens mais modernas e ter começado a utilizar objectos com maior disponibilidade para as suas operações”.