A Kaspersky Lab descobriu uma nova campanha de espionagem virtual conhecida pelo codinome 'Saguaro'. Trata-se de um grupo dedicado ao crime cibernético regionalizado, que recorre ao uso de um processo transparente, mas efetivo, para a distribuição de diversos tipos de malware. Desde 2009, essa campanha tem como foco vítimas de grande visibilidade, como instituições financeiras, da área de saúde e de pesquisa, além de provedores de Internet, agências de relações públicas, universidades e empresas de logística. Seu principal campo de operação encontra-se na América Latina, e a grande maioria das vítimas está no México. Outros países afetados incluem Colômbia, Brasil, EUA, Venezuela e República Dominicana. O objetivo dos invasores é espionar e roubar informações sigilosas das vítimas.
Com base na investigação da Kaspersky Lab, especialistas concluíram que os invasores da campanha falam espanhol e tem origem no México. Eles visam predominantemente países latino-americanos. Os especialistas da Kaspersky Lab identificaram 120 mil vítimas.
"Embora o 'Saguaro' possa ser considerado um elemento do 'crime virtual tradicional', a concentração geográfica de suas vítimas e as técnicas simples usadas para obter acesso a várias instituições de primeira linha o tornam um agente de ameaças incomum e difícil de controlar no cenário latino-americano. O modelo usado em todos os domínios é praticamente o mesmo; isso gera uma assinatura única, que ajudou a descobrir a magnitude da operação em andamento", explicou Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise Global da Kaspersky Lab na América Latina.
Todas as evidências coletadas indicam que o grupo 'Saguaro' teve início em 2009 e ainda continua em atividade. Os ataques começaram com um simples e-mail de phishing, que enganava as vítimas para abrir um documento do Microsoft Office com uma macro maliciosa incorporada. A fim de criar um gancho mais plausível e para manter a discrição, esses documentos parecem ser de uma conhecida agência do governo ou instituição financeira local. Na etapa seguinte, uma segunda carga é baixada de um amplo acervo de hosts da Web disponíveis para o grupo 'Saguaro' e por fim executada pela macro, infectando assim o sistema com o malware escolhido pelo grupo. O armazenamento on-line do malware com nomes de arquivo como 'logo.gif' ou 'logo.jpg' e a utilização de servidores de comando e controle diferentes em cada ataque tornam muito difícil rastrear e identificar o tráfego de rede suspeito, pois toda a comunicação é feita por meio de solicitações HTTP padrão. Além disso, os servidores Web usados para distribuir os vários componentes costumam ser servidores legítimos comprometidos pelos invasores, ou servidores Web instalados especialmente pelo grupo 'Saguaro'.
No momento, não há indicações de exploits que utilizam vulnerabilidades de dia zero. Porém, os documentos continuam sendo modificados e lançados em campo de acordo com os alvos visados pelo grupo. A simplicidade é um aspecto fundamental de toda a campanha e, da mesma forma que várias outras ameaças regionais, a reutilização do código é sempre prioridade para evitar o desenvolvimento desnecessário e custoso de novos malware.
O grupo de espionagem virtual usa malware, backdoors e ferramentas de administração remota capazes de roubar dados de navegadores da Web, clientes de e-mail, aplicativos de FTP, programas de mensagens instantâneas, conexões VPN e até capturar senhas de redes Wi-Fi e credenciais de nuvem armazenadas. Além disso, um dos módulos extrai endereços de contatos dos computadores das vítimas. Os especialistas em segurança da Kaspersky Lab também descobriram que o malware procura jogos on-line, conexões RDP, mineradores de Bitcoins e detecta se os computadores visados são conectados a dispositivos Apple ou Samsung via USB.
Todas as novas amostras de malware do grupo 'Saguaro' em atividade têm baixa taxa de detecção pelas soluções antivírus.