Estudo de hackers chineses é usado como isca de phishing

Os invasores estão usando versões falsas de um relatório lançado recentemente sobre um grupo de ciberespionagem chinês como isca em novos ataques de spear phishing que visam usuários japoneses e chineses.

O relatório foi divulgado terça-feira pela empresa de segurança Mandiant e documenta em detalhes as campanhas de cyberespionagem conduzidas desde 2006 por um grupo de hackers conhecido como o Comment Crew contra mais de 100 empresas e organizações de diferentes indústrias.

Mandiant refere-se ao grupo como APT1 (Advanced Persistent Ameaça 1) e alega no relatório que é provável que seja uma unidade secreta de ciberespionagem do Exército Chinês baseada em Xangai - o Exército de Libertação do Povo (PLA) - codinome "Unidade 61398".

[Leitura adicional: Como remover malware do seu PC Windows]

O governo chinês rejeitou as alegações da Mandiant como infundadas. No entanto, o relatório recebeu muita atenção das pessoas no setor de segurança de TI, bem como do público em geral.

Parece que essa publicidade levou os atacantes a decidir usar o relatório como isca em novos ataques direcionados.

Malware se disfarça como relatório da Mandiant

Dois ataques diferentes de phishing foram descobertos na semana passada usando e-mails com anexos maliciosos que se passaram pelo relatório da Mandiant, disse Aviv Raff, diretor de tecnologia da empresa de segurança Seculert. ataque atacou usuários de língua japonesa e envolveu e-mails com um anexo chamado Mandiant.pdf. Este arquivo PDF explora uma vulnerabilidade no Adobe Reader que foi corrigida pela Adobe em uma atualização de emergência na quarta-feira, disseram os pesquisadores de segurança da Seculert em um post. O malware instalado pela exploração se conecta a um servidor de comando e controle hospedado em A empresa também entrou em contato com alguns sites japoneses, provavelmente tentando enganar produtos de segurança, segundo os pesquisadores da Seculert.

A Symantec também detectou e analisou o ataque de spear phishing. "O e-mail pretende ser de alguém na mídia que recomenda o relatório", disse o pesquisador da Symantec, Joji Hamada, em um post no blog. No entanto, seria evidente para um japonês que o e-mail não foi escrito por um falante nativo de japonês, disse ele.

Hamada apontou que táticas semelhantes foram usadas no passado. Em um incidente em 2011, os hackers usaram um artigo de pesquisa sobre ataques direcionados publicados pela Symantec como isca. "Eles fizeram isso enviando spam por alvos com o documento real junto com um malware escondido em um anexo de arquivo", disse Hamada.

Explora a velha falha da Adobe

O segundo ataque de phishing detectou alvos de usuários chineses e usa um malware anexo chamado "Mandiant_APT2_Report.pdf."

De acordo com uma análise do arquivo PDF feita pelo pesquisador Brandon Dixon, da empresa de consultoria de segurança 9b +, o documento explora uma vulnerabilidade mais antiga do Adobe Reader que foi descoberta e corrigida em 2011.

instalado no sistema estabelece uma conexão com um domínio que atualmente aponta para um servidor na China, disse Dixon via e-mail. "O malware fornece aos atacantes a capacidade de executar comandos no sistema da vítima."

O nome de domínio contatado por esse malware também foi usado no passado em ataques que visavam ativistas tibetanos, disse Raff, da Seculert. Os ataques mais antigos instalaram o malware para Windows e Mac OS X. Ele disse que o pesquisador do MalwareLab, um pesquisador do MalwareLab, que rastreia ataques de malware com motivação política, disse no Twitter que o ataque de phishing da Mandiant teve como alvo jornalistas. na China. Essa informação não pôde ser confirmada por Raff ou Dixon, que disseram não ter cópias dos e-mails de spam originais, apenas do anexo malicioso que eles continham.