Os investigadores da ESET têm seguido de perto uma campanha de espionagem desde meados de 2017 e a sua análise mostra que os “cibercriminosos continuam a melhorar os seus ataques com novas versões dos seus instrumentos de espionagem”.
De acordo com a telemetria da ESET, os alvos dos ataques são instituições governamentais ucranianas. Os ataques usam RATs (Remote Access Tools) para extrair documentos dos computadores das vítimas.
A ESET detectou três versões distintas de RATs nestas campanhas: Quasar, Sobaken e Vermin. As três variantes de malware têm sido usadas simultaneamente contra diferentes alvos, partilhando parte da sua infraestrutura e ligando-se aos mesmos servidores C&C (Comando e Controlo).
O Quasar é um RAT open-source, disponível gratuitamente na Internet. Por sua vez, o Sobaken é uma versão modificada do Quasar. Finalmente, o Vermin é um RAT personalizado, escrito em .NET tal como os outros dois.
As campanhas analisadas baseiam-se em simples engenharia social, instalando-se na pasta AppData e numa subpasta com o nome de uma empresa legítima depois da vítima executar o software malicioso, normalmente disfarçado de anexo de email. A partir daí, o malware cria uma tarefa agendada que corre a cada 10 minutos para garantir a sua persistência.
Estes atacantes não receberam tanta atenção mediática como os outros cibercriminosos cujos alvos também são organizações ucranianas. No entanto, provaram que com truques de engenharia social, os ataques de ciberespionagem podem ter sucesso mesmo sem malware sofisticado. Isto “demonstra a necessidade de treinar os funcionários no que toca a cibersegurança, para além de ter uma solução de segurança de alta qualidade implementada”.
Via ESET.