O ator do APT, DeathStalker, ataca usuários na Alemanha e na Suíça. Alvo do ator: empresas do setor financeiro e jurídico. O novo backdoor “PowerPepper” usa várias técnicas de ofuscação.
Acredita-se agora que o agente de ameaças persistentes avançadas (APT), DeathStalker, esteja oferecendo serviços de hacking de aluguel para roubar informações comerciais confidenciais de empresas nos setores financeiro e jurídico. Os especialistas da Kaspersky detectaram novas atividades do agente e descobriram uma nova tática de implantação e entrega de malware: o backdoor do PowerPepper usa DNS sobre HTTPS como um canal de comunicação para ocultar a comunicação por trás de consultas legítimas de nomes de servidores de controle. Além disso, o PowerPepper usa várias técnicas de ofuscação, como a esteganografia.
Visando principalmente as PMEs
DeathStalker é um jogador APT muito incomum. O grupo, que atua desde pelo menos 2012, realiza campanhas de espionagem contra pequenas e médias empresas, como escritórios de advocacia ou representantes do setor financeiro. Ao contrário de outros grupos da APT, o DeathStalker não parece ter motivação política ou buscar ganhos financeiros das empresas visadas. Em vez disso, os patrocinadores agem como mercenários e oferecem seus serviços de hackers mediante o pagamento de uma taxa.
Os pesquisadores da Kaspersky descobriram uma nova campanha maliciosa do grupo usando o backdoor PowerPepper. Como outros malwares DeathStalker, o PowerPepper é normalmente distribuído usando e-mails de spear phishing, com os arquivos maliciosos sendo entregues no corpo do e-mail ou em um link malicioso. Para fazer isso, o grupo usou eventos internacionais, regulamentos sobre emissões de CO2 ou a pandemia de corona para fazer com que suas vítimas abrissem os documentos nocivos.
Esteganografia como camuflagem
A principal carga maliciosa é camuflada usando esteganografia, que permite que os invasores ocultem dados em meio a conteúdo legítimo. No caso do PowerPepper, o código malicioso é incorporado em imagens aparentemente normais de samambaias ou pimentas (consulte “pimenta” em inglês para nomenclatura) e depois extraído por um script de carregamento. Depois disso, o PowerPepper começa a executar comandos de shell remotos que recebe dos agentes do DeathStalker, que visam roubar informações comerciais confidenciais. O malware pode executar qualquer comando de shell no sistema de destino, incluindo os de reconhecimento de dados padrão, como coletar informações de usuário e arquivo de computador, navegar em compartilhamentos de arquivos de rede e baixar binários adicionais ou copiar conteúdo para locais remotos. Os comandos são recuperados do servidor de controle usando a comunicação DNS sobre HTTPS - um método eficaz de ocultar comunicações maliciosas por trás de consultas legítimas de nomes de servidores.
Leia mais na SecureList da Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/