Kaspersky descobre campanha mundial de "multi-malware"

Kaspersky descobre campanha mundial de "multi-malware" que visa organizações

O último relatório da Kaspersky revelou que uma campanha maliciosa de "multi-malware" em curso levou a cabo mais de 10.000 ataques dirigidos principalmente a organizações globais. A campanha utiliza backdoors, keyloggers e software de mineração. Utilizando novos scripts maliciosos concebidos para desativar funcionalidades de segurança e facilitar o descarregamento de malware, o seu objetivo é a exploração financeira.

Na sequência de um relatório do FBI sobre os ataques - destinados a infetar as organizações vítimas com miners para utilizar os seus recursos para mineração, keyloggers para roubar dados e backdoors para obter acesso ao sistema - os especialistas da Kaspersky têm vindo a acompanhar a campanha e descobriram que esta ainda está em curso.

Visando principalmente organizações, incluindo agências governamentais, organizações agrícolas e empresas de comércio grossista e retalhista, entre maio e outubro, a telemetria da Kaspersky mostra que mais de 10.000 ataques afetaram mais de 200 utilizadores. Os cibercriminosos visaram predominantemente vítimas na Rússia, Arábia Saudita, Vietname, Brasil e Roménia, com ataques ocasionais também identificados nos EUA, Índia, Marrocos e Grécia.

A Kaspersky também expôs novos scripts maliciosos que parecem infiltrar-se nos sistemas através da exploração de vulnerabilidades em servidores e estações de trabalho. Uma vez lá dentro, os scripts tentam manipular o Windows Defender, obter privilégios de administrador e perturbar a funcionalidade de vários produtos antivírus.

Depois disso, os scripts tentam descarregar uma backdoor, um keylogger e um minerador a partir de um site, agora offline. O minerador aproveita os recursos do sistema para gerar várias criptomoedas, como o Monero (XMR). Entretanto, o keylogger capta toda a sequência de teclas premidas pelo utilizador no teclado e nos botões do rato, enquanto a backdoor estabelece comunicação com um servidor de Comando e Controlo (C2) para receber e transmitir dados. Isto permite ao atacante obter controlo remoto sobre o sistema comprometido.

"Esta campanha multi-malware está a evoluir rapidamente com a introdução de novas modificações. A motivação dos atacantes parece estar enraizada na busca de ganhos financeiros por todos os meios possíveis. A nossa pesquisa especializada sugere que isto pode ir além da mineração de criptomoedas e pode envolver atividades como a venda de credenciais de login roubadas na dark web ou a execução de cenários avançados usando as capacidades da backdoor", explica Vasily Kolesnikov, especialista em segurança da Kaspersky. "Os nossos produtos, como o Kaspersky Endpoint Security, podem detetar as tentativas de infeção, incluindo as efetuadas com as novas modificações, graças às suas amplas capacidades de proteção".

A análise técnica da campanha está disponível em Securelist.com. Para evitar as ciberameaças em constante evolução, vale a pena implementar as seguintes medidas de segurança:

· Manter sempre o software atualizado em todos os dispositivos que utiliza para evitar que os atacantes se infiltrem na sua rede através da exploração de vulnerabilidades.

· Instalar patches para novas vulnerabilidades o mais rapidamente possível. Uma vez descarregadas, os agentes de ameaças já não podem explorar a vulnerabilidade.

· Efetuar uma auditoria de segurança regular à infraestrutura de TI de uma organização para revelar lacunas e sistemas vulneráveis;

· Escolher uma solução de segurança endpoint comprovada, como o Kaspersky Endpoint Security for Business, que conta com capacidades de deteção baseadas no comportamento e de controlo de anomalias para uma proteção eficaz contra ameaças conhecidas e desconhecidas. A solução tem controlo de aplicações e da Web para minimizar a possibilidade de lançamento de criptomineradores; a análise de comportamento ajuda a detetar rapidamente atividades maliciosas, enquanto o gestor de vulnerabilidades e patches protege contra criptomineradores que exploram vulnerabilidades.

· Como as credenciais roubadas podem ser colocadas à venda na dark web, use o Kaspersky Digital Footprint Intelligence para monitorizar recursos sombra e identificar prontamente ameaças relacionadas

Para mais informações sobre a campanha mundial de multi-malware, consulte a Securelist,