Brasil e EUA estão sob ataque de poderoso malware
Pesquisadores da Symantec descobriram um novo Trojan backdoor sendo usado em ataques contra empresas localizadas principalmente em Taiwan, mas também contra organizações no Brasil e nos Estados Unidos.
Apelidado Backdoor.Dripion pela Symantec, o malware é custom-built (criado para um fim específico) e foi criado principalmente para roubar informações de uma série de ataques direcionados, dizem os pesquisadores.
Além disso, a Symantec descobriu que os operadores do Trojan disfarçam suas atividades por meio de nomes de domínio "mascarado" como sites de empresas antivírus para o seus servidores de Comando & Controle (C&C).
Acredita-se que Dripion esteja ligado a uma organização envolvida em campanhas de ciber-espionagem. Os especialistas da Symantec associaram ele com o Budminer, um grupo de ameaças avançadas conhecido anteriormente por ter ter usado o Taidoor Trojan - um cavalo-de-troia usada para ataques contra grupos de pesquisa e elaboração de políticas, atendendo aos interesses US-Taiwan.
Até agora, o malware tem sido usado por um único atacante contra um pequeno grupo-alvo e os pesquisadores descobriram que ele estava sendo implantado usando o Blugger Trojandownloader. Este aplicativo malicioso, que tem sido usado pelo menos desde 2011, usa criptografia para realizar a sua comunicação com o servidor C&C.
No entanto, os pesquisadores conseguiram descobrir que o downloader solicitado possui URL's de blogs disponíveis publicamente, para recuperar o Dripion para a instalação. A maioria dos blogs foram relacionadas a eventos de notícias - a Symantec ainda não tem certeza se eles foram criados pelos próprios agressores ou se foram comprometidos para distribuir o malware.
Após a instalação, o Dripion fornece ao atacante acesso completo ao computador da vítima, já que inclui a funcionalidade normalmente encontrada em um Trojan backdoor. Depois de um comprometimento bem sucedido, seus operadores podem fazer upload, download e roubar informações pré-determinadas da vítima (o nome do computador e o endereço-IP são automaticamente enviados para o servidor C&C), e também pode executar comandos remotos.
O Trojan suporta comandos como o sleep por 10 minutos (escapando da atenção de usuários ou técnicos), tentativa de excluir-se e matar todas as operações, desconectar-se do computador, gravar dados no computador da vítima ou em um arquivo remoto aberto, criar um novo processo, e comandar execução e redirecionamento dos resultado através de PIPE.
