O malware Xtreme RAT tem como alvo os EUA, Reino Unido e outros governos

Os atacantes enviavam mensagens desonestas com um anexo.RAR para endereços de e-mail dentro das agências governamentais alvo. O arquivo continha um executável malicioso disfarçado como um documento do Word que, quando executado, instalava o malware Xtreme RAT e abria um documento falso com uma reportagem sobre um ataque de míssil palestino.

O ataque veio à tona no final de outubro, quando a polícia israelense fechou sua rede de computadores para limpar o malware de seus sistemas. Como a maioria dos RATs (RATs), o Xtreme RAT dá aos invasores controle sobre a máquina infectada e permite que eles carreguem documentos e outros arquivos de volta para seus servidores.

[Leia mais: Como remover malware do seu PC com Windows]

Depois de analisar amostras de malware usadas no ataque da polícia israelense, pesquisadores de segurança da Norman, fabricante norueguesa de antivírus, descobriram uma série de ataques mais antigos no início deste ano e final de 2011 que visavam organizações em Israel e nos territórios palestinos. Suas descobertas pintaram o quadro de uma operação de ciberespionagem de um ano, realizada pelo mesmo grupo de atacantes na região.

No entanto, de acordo com novos dados descobertos por pesquisadores da Trend Micro, o escopo da campanha parece ser muito maior. "Descobrimos dois e-mails enviados de {BLOCKED}[email protected] em 11 de novembro e 8 de novembro que atacavam principalmente o governo de Israel", disse o pesquisador sênior de ameaças da Trend Micro, Nart Villeneuve, em um post no começo da semana. "Um dos e-mails foi enviado para 294 endereços de e-mail."

"Embora a grande maioria dos e-mails tenha sido enviada ao governo de Israel no 'mfa.gov.il' [Ministério das Relações Exteriores de Israel], 'idf. gov.il '[Forças de Defesa de Israel] e' mod.gov.il '[Ministério da Defesa de Israel], uma quantidade significativa também foi enviada ao governo dos EUA em endereços de e-mail' state.gov '[Departamento de Estado dos EUA], "Villeneuve disse. "Outros alvos do governo dos EUA também incluíram os endereços de e-mail 'senate.gov' [Senado dos EUA] e 'house.gov' [Câmara dos Deputados dos EUA]. O e-mail também foi enviado para o e-mail" usaid.gov "[Agência dos Estados Unidos para o Desenvolvimento Internacional]. "

A lista de alvos incluía também os endereços de e-mail 'fco.gov.uk' (Ministério dos Negócios Estrangeiros britânico) e 'mfa.gov.tr' (Ministério dos Negócios Estrangeiros turco), bem como endereços do governo instituições na Eslovênia, Macedônia, Nova Zelândia e Letônia, disse o pesquisador. Algumas organizações não-governamentais, como a BBC e o Gabinete do Representante do Quarteto, também foram alvo.

Motivações não claras

Os pesquisadores da Trend Micro usaram metadados dos documentos para rastrear alguns de seus autores em um fórum on-line. Um deles usou o alias "aert" para falar sobre vários aplicativos de malware, incluindo DarkComet e Xtreme RAT, ou para trocar bens e serviços com outros membros do fórum, disse Villeneuve.

No entanto, as motivações dos invasores permanecem incertas. Se, após o relatório normando, alguém pudesse especular que os agressores têm uma agenda política ligada a Israel e aos territórios palestinos, depois das últimas descobertas da Trend Micro. é difícil adivinhar o que os motiva. "As motivações deles ainda não estão claras, depois de descobrir esse último desenvolvimento de atacar outras organizações estatais", disse Ivan Macalintal, pesquisador de ameaças e analista de segurança da Trend Micro.

A Trend Micro não assumiu o controle de nenhum servidor de comando e controle (C & C) usado pelos atacantes para determinar quais dados estão sendo roubados dos computadores infectados, disse o pesquisador, acrescentando que não há planos para isso no momento.

Às vezes, as empresas de segurança trabalham com provedores de domínio para apontar nomes de domínio C & C usados ​​por invasores para endereços IP sob seu controle. Esse processo é conhecido como "sinkholing" e é usado para determinar quantos computadores foram infectados com uma determinada ameaça e que tipo de informações esses computadores estão enviando de volta para os servidores de controle.

"Entramos em contato e estamos trabalhando com o CERTs [equipes de emergência de computadores] para os estados afetados e veremos se realmente houve algum dano ", disse Macalintal. "Ainda estamos monitorando ativamente a campanha a partir de agora e postaremos atualizações de acordo."