Kaspersky Lab deteta malware comercial

Catarina Gomes,

A Kaspersky Lab anunciou a descoberta do grupo Poseidon, criador de ameaças avançadas ativas que já funciona a nível global pelo menos desde 2005. Segundo a empresa russa, a novidade deste grupo Poseidon é que se trata de uma entidade com fins comerciais, cujos ataques implicam malware personalizado assinado digitalmente com falsos certificados, instalados para roubar dados confidenciais das vítimas e obrigando-as a estabelecer relações comerciais com o grupo. Além disso, o malware foi desenhado para funcionar especificamente em equipamentos Windows em português do Brasil e inglês.

A Kaspersky Lab identificou, pelo menos, 35 empresas vítimas, dos mais diversos setores: finanças, governos, telecomunicações, energia entre outras. Foram igualmente detetados ataques a empresas de serviços de elevado perfil. Embora as vítimas deste grupo estejam sobretudo localizadas no Brasil, nos Estados Unidos, França, Casaquistão, Emirados Árabes Unidos, Índia e Rússia.

De acordo com o relatório da  Kaspersky Lab, uma das características do grupo Poseidon é a exploração ativa das redes empresariais baseadas em domínio. Segundo consta no relatório de análise da empresa russa, o grupo Poseidon usa emails de phishing com ficheiros RTF/DOC, geralmente com um assunto relacionado com recursos humanos, que, após aberto, introduz um binário malicioso no sistema da empresa alvo. Outra descoberta chave é a deteção de fragmentos de conversação em português do Brasil. As amostras revelam uma preferência do grupo pelos sistemas em português, prática que até agora ainda não tinha sido vista.

Uma vez infetado um equipamento, o malware informa os servidores de comando e controlo antes de dar início a uma fase complexa de movimento lateral, refere a Kaspersky Lab. Nesta fase intervém uma ferramenta especializada que recolhe de forma automática um grande fluxo de informação: credenciais, políticas de gestão de grupos e inclusive os logs do sistema, para aperfeiçoar futuros ataques e assegurar a execução dos programas maliciosos. Assim, os atacantes sabem que aplicações e comandos podem utilizar sem alertar o administrador da rede durante o movimento lateral e a extração dos dados. Posteriormente, a informação recolhida é utilizada por uma empresa “isco” que manipula a vítima para a levar a contratar a Poseidon Security como consultora de segurança, sob a ameaça de a informação roubada ser usada em negócios obscuros em favor do grupo Poseidon.

O grupo Poseidon tem estado ativo nos últimos 10 anos, pelo que as suas técnicas para desenhar implantes tem vindo a evoluir, dificultando as tarefas de correlação dos investigadores, informa a Kasperky Lab. Ainda assim, ao recolher cuidadosamente todas as provas, analisando a caligrafia dos autores e reconstruindo o cronograma dos ataques, os analistas da Kaspersky Lab conseguiram, em meados de 2015, identificar vestígios e concluir que provinham do mesmo autor, o grupo Poseidon.