Pesquisadores descobrem nova operação global de ciberespionagem chamada Safe

Pesquisadores de segurança da Trend Micro descobriram uma operação ativa de ciberespionagem que até agora comprometeu computadores pertencentes a ministérios, empresas de tecnologia, meios de comunicação, instituições de pesquisa e organizações não governamentais de mais de 100 países.

A operação, que a Trend Micro apelidou de Safe, tem como alvo possíveis vítimas usando e-mails de spear phishing com anexos maliciosos. Os pesquisadores da empresa investigaram a operação e publicaram um trabalho com suas descobertas na sexta-feira.

Duas táticas foram vistas

A investigação descobriu dois conjuntos de servidores de comando e controle (C & C) usados ​​para o que parece ser dois ataque campanhas que têm alvos diferentes, mas usam o mesmo malware

[Leia mais: Como remover malware do seu PC Windows]

Uma campanha usa e-mails de spear phishing com conteúdo relacionado ao Tibete e Mongólia. Esses e-mails têm anexos.doc que exploram uma vulnerabilidade do Microsoft Word corrigida pela Microsoft em abril de 2012.

Os registros de acesso reunidos a partir dos servidores C & C da campanha revelaram um total de 243 endereços IP exclusivos de 11 países diferentes. No entanto, os pesquisadores encontraram apenas três vítimas que ainda estavam ativas no momento de sua investigação, com endereços IP da Mongólia e do Sudão do Sul.

Os servidores C & C correspondentes à segunda campanha de ataque registraram 11.563 endereços IP exclusivos de vítimas de 116 países diferentes, mas o número real de vítimas provavelmente será muito menor, disseram os pesquisadores. Em média, 71 vítimas estavam ativamente se comunicando com este conjunto de servidores de C & C a qualquer momento durante a investigação, eles disseram.

Os e-mails de ataque usados ​​na segunda campanha de ataque não foram identificados, mas a campanha parece ser maior em escopo e as vítimas mais dispersas geograficamente. Os cinco principais países por contagem de endereços IP de vítimas são Índia, EUA, China, Paquistão, Filipinas e Rússia.

Malware em uma missão

O malware instalado nos computadores infectados é projetado principalmente para roubar informações, mas sua funcionalidade pode ser aprimorada com módulos adicionais. Os pesquisadores descobriram componentes de plug-in para fins especiais nos servidores de comando e controle, bem como programas prontos para uso que podem ser usados ​​para extrair senhas salvas do Internet Explorer e Mozilla Firefox, bem como credenciais do Protocolo de Área de Trabalho Remota armazenadas em Windows.

"Embora seja difícil determinar a intenção e a identidade dos invasores, é difícil determinar se a campanha Segura é direcionada e se usa malware desenvolvido por um engenheiro de software profissional que pode estar conectado ao submundo cibercriminoso na China". os pesquisadores da Trend Micro disseram em seu artigo. "Este indivíduo estudou em uma importante universidade técnica no mesmo país e parece ter acesso ao repositório de código-fonte de uma empresa de serviços de Internet."

Os operadores dos servidores C & C os acessaram de endereços IP em vários países, mas na maioria das vezes China e Hong Kong, disseram os pesquisadores da Trend Micro. "Também vimos o uso de VPNs e ferramentas de proxy, incluindo o Tor, que contribuiu para a diversidade geográfica dos endereços IP das operadoras."

Artigo atualizado às 9:36 PT para refletir que a Trend Micro mudou o nome de a operação de ciberespionagem que foi o assunto da história e o link para o seu relatório de pesquisa.