NaiveCopy, nova campanha APT altamente ativa que visa indústria das criptomoedas

NaiveCopy, nova campanha APT altamente ativa que visa indústria das criptomoedas

Kaspersky alerta para grupo de Ameaça Persistente Avançada (APT) que tem vindo a visar a indústria da criptomoeda. Utilizando como isco conteúdo relacionado com criptomoeda, o agente por detrás desta nova campanha, apelidado de "NaiveCopy", atacou investidores de ações e de criptomoedas na Coreia do Sul. Uma análise mais aprofundada das táticas e técnicas do NaiveCopy revelou outra campanha ativa no ano passado, que visou entidades desconhecidas tanto no México como no Reino Unido. Esta conclusão, juntamente com outras descobertas, encontra-se revelada no último relatório trimestral de Threat Intelligence da Kaspersky.

Os agentes APT estão continuamente a mudar as suas tácitas, atualizando as suas ferramentas e desenvolvendo novas técnicas. Para ajudar os utilizadores e as empresas a acompanhar estas mudanças e manter-se informados sobre as potenciais ameaças que possam enfrentar, a equipa de Global Research and Analysis da Kaspersky (GReAT) fornece relatórios trimestrais sobre os desenvolvimentos mais importantes em todo o avançado panorama de ameaças persistentes. O relatório trimestral de tendências APT é criado com recurso aos dados de investigação da Kaspersky sobre ameaças e inclui grandes desenvolvimentos e ciberincidentes que devem ser do conhecimento de todos.

No segundo trimestre de 2022, os investigadores da Kaspersky descobriram uma nova campanha altamente ativa iniciada em março e que tinha como alvo os investidores de ações e de criptomoedas. Isto é invulgar considerando que a maioria dos agentes de APT não procura obter ganhos financeiros. O agente utilizou conteúdos e queixas relacionadas com as criptomoedas como temas para atrair as suas vítimas. As cadeias de infeção envolveram a injeção remota de templates, espalhando um macro vírus que inicia um procedimento de infeção em várias fases com recurso à Dropbox. Depois de sinalizar a informação do anfitrião da vítima, o malware tenta então ir buscar a fase final do payload.

Felizmente, os peritos da Kaspersky tiveram a oportunidade de analisar a fase final do payload, constituída por vários módulos utilizados para roubar a informação sensível da vítima. Ao analisar este payload, os investigadores da Kaspersky encontraram amostras adicionais, que tinham sido utilizadas há um ano atrás, durante outra campanha contra entidades no México e no Reino Unido.

Os especialistas da Kaspersky não veem quaisquer ligações precisas a agentes de ameaça conhecidos, no entanto acreditam que estão familiarizados com a língua coreana e utilizaram uma tática semelhante anteriormente utilizada pelo grupo Konni, para roubar as credenciais de login de um portal coreano de renome. O grupo Konni é um grupo que tem estado ativo desde meados de 2021, visando sobretudo entidades diplomáticas russas.

"Ao longo de vários trimestres, temos visto elementos de APT, voltarem a sua atenção para a indústria das criptomoedas. Utilizando várias técnicas, os intervenientes procuram não só informação, mas também dinheiro. Esta é uma tendência invulgar, mas crescente, para o panorama dos grupos APT. A fim de combater as ameaças, as organizações precisam de ganhar visibilidade para as atuais ameaças cibernéticas. A informação resultante dos relatórios de Threat Intelligence é uma componente essencial na medida em que permite uma antecipação fiável e atempada de tais ataques", comenta David Emm, principal investigador de segurança do GReAT da Kaspersky.

Para ler o relatório completo de tendências APT 2T 2022, por favor visite Securelist.com.

A fim de evitar ser vítima de um ataque direcionado por um agente conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:

• Proporcionar à sua equipa de segurança o acesso às últimas informações sobre ameaças (TI). O Portal Kaspersky Threat Intelligence é um ponto de acesso único para as TI da empresa, fornecendo dados de ciberataques e insights recolhidos pela Kaspersky ao longo dos últimos 20 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o livre acesso à informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso. Solicite acesso online.

• Instrua a sua equipa de segurança cibernética para que consigam enfrentar as últimas ameaças com a formação online Kaspersky desenvolvida por peritos do GReAT.

• Utilize soluções EDR de nível empresarial, tais como Kaspersky EDR Expert. É essencial para detetar as verdadeiras ameaças e analisar e responder a um incidente da forma mais eficaz.

• Além de adotar uma proteção para endpoints, implemente uma solução de segurança de nível corporativo que detete ameaças avançadas ao nível da rede numa fase inicial, como a Plataforma Kaspersky Anti Targeted Attack.

• Como muitos ataques direcionados começam com técnicas de engenharia social, tais como phishing, introduzir formações de sensibilização para a segurança e ensinar competências práticas à sua equipa - utilizando ferramentas como a Kaspersky Automated Security Awareness Platform – pode fazer a diferença.