A equipe de especialistas da Kaspersky Lab anunciou a descoberta de uma campanha de espionagem virtual realizada pela organização cibercriminosa conhecida como "Winnti". De acordo com o relatório divulgado nesta quinta-feira, 11, o grupo tem atacado empresas do setor de jogos online desde 2009, que continua em atividade. O objetivo do grupo é roubar certificados digitais assinados por fornecedores legítimos de software, além de roubar propriedade intelectual, inclusive o código fonte de projetos de jogos online.
O primeiro incidente que chamou atenção para as atividades maliciosas do grupo Winnti ocorreu no outono de 2011, quando foi detectado um cavalo de Troia em um grande número de computadores de usuários finais em todo o mundo. A ligação evidente entre os computadores infectados era que todos eles foram usados para jogar um conhecido jogo online. Logo após o incidente, surgiram informações de que o programa malicioso que tinha infectado os computadores dos usuários fazia parte de uma atualização regular do servidor oficial da empresa de jogos. Os usuários infectados e participantes da comunidade de jogos suspeitaram que o editor do jogo de computador estava instalando o malware para espionar seus clientes. Contudo, mais tarde ficou claro que o programa malicioso foi instalado nos computadores dos jogadores por acidente e que, na verdade, os criminosos virtuais visavam a própria empresa de jogos.
Como resposta, o editor do jogo de computador, proprietário dos servidores que disseminaram o cavalo de Troia para seus usuários solicitou que a Kaspersky Lab analisasse o programa malicioso. O cavalo de Troia consistia em uma biblioteca DLL compilada para ambientes Windows de 64 bits que usava umdrive malicioso com uma assinatura digital válida. Tratava-se de uma ferramenta de administração remota (RAT) totalmente funcional, que dava aos invasores a possibilidade de controlar os computadores das vítimas sem o conhecimento dos usuários. Essa descoberta foi significativa, pois esse cavalo de Troia foi o primeiro programa malicioso para a versão de 64 bits do Microsoft Windows com uma assinatura digital válida.
Os especialistas da Kaspersky Lab começaram a analisar a campanha do grupo Winnti e descobriram que mais de 30 empresas do setor de vídeo games tinham sido infectadas pelo grupo Winnti, sendo que a maioria delas era formada por empresas de desenvolvimento de software que produziam jogos de vídeo games online no sudeste da Ásia. No entanto, também foram identificadas vítimas do grupo Winnti entre empresas de jogos online localizadas na Alemanha, nos Estados Unidos, no Japão, na China, na Rússia, no Brasil, no Peru e na Bielorrússia.
Além da espionagem industrial, os especialistas da Kaspersky Lab identificaram três esquemas principais de monetização que poderiam ser usados pelo grupo Winnti para gerar lucros ilegais:
*A manipulação da acumulação de pontos no jogo, como "moedas" ou "ouro", que são usados pelos jogadores para converter o dinheiro virtual em dinheiro real.
*O uso do código fonte roubado dos servidores de jogos online para buscar vulnerabilidades nos jogos, com o intuito de facilitar e acelerar a manipulação das moedas de jogo e de sua acumulação sem levantar suspeitas.
*O uso do código fonte roubado dos servidores de jogos online conhecidos para implementar seus próprios servidores pirata.
O grupo Winnti ainda está ativo e a investigação da Kaspersky Lab continua em andamento. A equipe de especialistas da empresa tem trabalhado em conjunto com a comunidade de segurança de TI, o setor de jogos online e autoridades de certificação para identificar outros servidores infectados, auxiliando ainda na revogação dos certificados digitais roubados.
Para ler o relatório da Kaspersky Lab sobre a campanha do grupo Winnti na íntegra, incluindo uma análise técnica completa da investigação, visite o site Securelist.com