AdvancedIPSpyware, a ferramenta que se dirige a organizações de todo o Mundo

 AdvancedIPSpyware, a ferramenta que se dirige a organizações de todo o Mundo

Num relatório recente sobre crimeware, os peritos da Kaspersky descreveram o AdvancedIPSpyware. É uma versão backdoored da ferramenta Advanced IP Scanner utilizada pelos administradores de rede para controlar as redes locais (LANs). A ferramenta maliciosa afetou um vasto público com vítimas na América Latina, África, Europa Ocidental, Ásia do Sul, Austrália, bem como nos países da CEI.

É adicionado um código malicioso ao software benigno para esconder a sua atividade nociva e enganar o utilizador é uma técnica que se tem tornado cada vez mais comum. O que não tem sido visto com tanta frequência é que o binário backdoor e é efetivamente assinado. Este é precisamente o caso do AdvancedIPSpyware, que é uma versão backdoor da ferramenta legítima Advanced IP Scanner utilizada pelos administradores de rede para controlar as LANs. O certificado com o qual o malware foi assinado foi muito provavelmente roubado. O malware foi alojado em dois sites, cujos domínios são quase idênticos ao site legítimo Advanced IP Scanner, diferindo apenas por um a letra. Além disso, os sites têm o mesmo aspeto. A única diferença é o botão “download gratuito” nos sites maliciosos.

O binário legítimo assinado contra o binário malicioso assinado

Outra característica invulgar do AdvancedIPSpyware é que a arquitetura é modular. Tipicamente, a arquitetura modular é vista com malware patrocinados por Estados-nação, não do género criminoso. Contudo, neste caso, os ataques não foram visados, o que leva a concluir que AdvancedIPSpyware não se refere a quaisquer campanhas de motivação política.

A campanha AdvancedIPSpyware tem uma vasta vitimologia com utilizadores afetados na América Latina, África, Europa Ocidental, Ásia do Sul, Austrália, bem como nos países da CEI. A contagem global de vítimas infetadas ao longo de toda a campanha é de cerca de 80.

Para além do AdvancedIPSpyware, o relatório do crimeware publicado na Securelist inclui as seguintes conclusões:

• BlackBasta, um grupo de ramsomware descoberto no início de Julho de 2022, acrescentou funcionalidades que dificultam a investigação forense e a deteção, pois o malware pode agora propagar-se através da própria rede.
• Os investigadores testemunharam novas características do CLoader, um ladrão descoberto pela primeira vez em Abril de 2022. Utilizou jogos modificados e software como isco para enganar os usuários a instalar o malware. Os ficheiros descarregados eram instaladores NSIS, contendo código malicioso no script de instalação.
• Em Agosto de 2022, foi descoberta uma campanha que tem estado ativa desde pelo menos Janeiro de 2022 e que se centra em indivíduos de língua chinesa. Num popular canal de língua chinesa do YouTube, centrado no anonimato da Internet, foi carregado um vídeo dando instruções sobre como instalar o navegador Tor. Isto em si não é assim tão estranho, uma vez que o navegador Tor está bloqueado na China. Contudo, se um utilizador clicar no link da descrição, em vez do benigno navegador Tor, é descarregada uma versão infetada do navegador Tor.

"O e-mail é o método de infeção mais comum utilizado tanto por cibercriminosos como por estados nacionais. Desta vez, analisámos técnicas menos comuns utilizadas pelos cibercriminosos - ambas bem conhecidas e que se têm mantido fora de vista. Nomeadamente, o AdvancedIPSpyware destaca-se pela sua arquitetura invulgar, uso de ferramenta legítima, e cópia quase idêntica do website legítimo," - comenta Jornt van der Wiel, especialista em segurança da Kaspersky.

Para saber mais sobre AdvancedIPSpyware e outras descobertas de crimeware, leia o relatório em Securelist.com 

Para se proteger e ao seu negócio de ataques ransomware, considere seguir estas recomendações Kaspersky:

• Não exponha os serviços remotos (como o RDP) a redes públicas a menos que seja absolutamente necessário e utilize sempre senhas fortes para eles.
• Instale rapidamente os patches disponíveis para soluções VPN comerciais, fornecendo acesso aos empregados remotos e atuando como gateways na sua rede.
• Mantenha sempre o software atualizado em todos os dispositivos que utiliza para evitar que o software ransomware explore as vulnerabilidades.
• Concentre a sua estratégia de defesa na deteção de movimentos laterais e de filtragem de dados para a Internet. Preste especial atenção ao tráfego de saída para detetar ligações de cibercriminosos.
• Faça regularmente cópias de segurança dos dados. Certifique-se de que pode aceder rapidamente aos mesmos em caso de emergência, quando necessário.
• Utilize soluções como Kaspersky Endpoint Detection and Response Expert e Kaspersky Managed Detection and Response service, que ajudam a identificar e parar os ataques durante as fases iniciais, antes dos atacantes atingirem os seus objetivos finais.
• Eduque os seus funcionários a proteger o ambiente corporativo. Cursos de formação dedicados podem ajudar, tais como os fornecidos na Plataforma Kaspersky Automated Security Awareness.
• Utilize uma solução de segurança de endpoint fiável, como a Kaspersky Endpoint Security for Business, que é alimentada por prevenção de exploração, deteção de comportamento e um motor de remediação capaz de reverter ações maliciosas. A KESB também possui mecanismos de autodefesa, que podem impedir a sua remoção por cibercriminosos.
• Utilize as informações mais recentes da Threat Intelligence para ficar a par dos TTPs reais utilizados pelos atores da ameaça. O Portal The Kaspersky Threat Intelligence é um ponto de acesso único para a TI da Kaspersky, fornecendo dados de ciberataque e insights recolhidos pela nossa equipa durante quase 25 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o acesso a informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso, sem qualquer custo. Solicite aqui o acesso a esta oferta.