TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Kaspersky Lab diz que malware do Grupo LuckyMouse está de volta

Postado em: 12/09/2018, às 17:19 por Redação

O Grupo LuckyMouse está de volta, usando um certificado legítimo nas assinaturas de malware. A Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky Lab descobriu várias infecções por um cavalo de Troia desconhecido que, provavelmente, está relacionado ao implacável agente de ameaças de idioma chinês, o Grupo LuckyMouse.

A característica mais singular desse malware é seu driver específico, assinado usando um certificado digital legítimo emitido por uma empresa que desenvolve software relacionado à segurança de informações.

O Grupo LuckyMouse é conhecido pelos ataques cibernéticos altamente direcionados a grandes entidades de todo o mundo. A atividade do grupo representa perigo para regiões inteiras, incluindo o sudeste e o centro da Ásia, pois seus ataques parecem ter uma pauta política. A julgar pelos perfis das vítimas e vetores de ataques utilizados anteriormente pelo grupo, os pesquisadores da Kaspersky Lab acham que o cavalo de Troia que detectaram pode ter sido usado para espionagem virtual patrocinada por nações-estado.

O cavalo de Troia descoberto pelos especialistas da Kaspersky Lab infectou computadores-alvo por meio de um driver desenvolvido pelos agentes da ameaça. Ele permitia que os invasores executassem todas as tarefas comuns, como execução de comandos, download e upload de arquivos e interceptação do tráfego de rede.

O driver acabou sendo o elemento mais interessante dessa campanha. Para torná-lo confiável, aparentemente o grupo roubou um certificado digital pertencente a um desenvolvedor de software relacionado à segurança de informações para usar na assinatura das amostras de malware. Isso foi feito para evitar a detecção por soluções de segurança, pois uma assinatura legítima faz o malware parecer um software legal.

Outro aspecto notável do driver é que, embora o LuckyMouse tenha capacidade de criar seu próprio software malicioso, o programa usado no ataque parece ser uma combinação de amostras de código disponíveis em repositórios públicos e malware personalizado. A simples adoção de um código de terceiros pronto para uso, em vez de criar um código original, poupa o tempo dos desenvolvedores e dificulta a atribuição.

"Quase sempre, quando surge uma nova campanha do LuckyMouse, ela está sincronizada com a realização de um evento político importante, e o cronograma do ataque costuma preceder reuniões de líderes mundiais. O agente não se preocupa muito com a atribuição; como agora estão implementando amostras de código de terceiros em seus programas, é rápido adicionar mais uma camada em seus droppers ou desenvolver uma modificação do malware e, ainda assim, não ser rastreados", observa Denis Legezo, pesquisador de segurança da Kaspersky Lab.

A Kaspersky Lab já publicou um informe sobre o ataque do agente LuckyMouse a um data center federal para organizar uma campanha de waterholing em nível nacional.a obter acesso imediato a informações sobre as evoluções mais recentes em termos de táticas, técnicas e procedimentos de agentes de ameaças sofisticadas.

RSS
Facebook
Google+
http://tiinside.com.br/tiinside/12/09/2018/kaspersky-lab-relaciona-infeccoes-por-cavalo-de-troia-desconhecido-a-agente-de-ameacas-de-idioma-chines/
Twitter
LinkedIn

Tags: , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top
Social media & sharing icons powered by UltimatelySocial