O grupo de hackers chinês “Blackwood” está espionando pessoas e empresas no Reino Unido, China e Japão usando uma ferramenta chamada NSPX30. O malware atinge os dispositivos alvo por meio de atualizações oficiais de aplicativos.
Os cibercriminosos estão sempre encontrando maneiras engenhosas de obter dados valiosos. Como descobriram os pesquisadores da ESET, um grupo de hackers da China até então desconhecido está em busca de dados usando uma nova ferramenta chamada NSPX30. O que há de especial nisso: em vez de infectar o usuário por meio de anexos de e-mail e sites maliciosos, ele atinge os sistemas de destino por meio de atualizações oficiais de aplicativos. Desde 2018, “Blackwood”, como a equipe liderada pelo pesquisador da ESET Facundo Muñoz chamou o grupo, vem espionando pessoas e empresas no Reino Unido, China e Japão.
NSPX30 encaminha capturas de tela e informações salvas
Depois que o malware é instalado, ele imediatamente começa a coletar dados e repassá-los para quem está por trás dele. Isso inclui capturas de tela, informações armazenadas no dispositivo e pressionamentos de tecla. No entanto, o padrão exato do ataque e como o grupo esconde a sua identidade ainda é desconhecido:
“Não sabemos exatamente como os invasores conseguem entregar o NSPX30 como atualizações maliciosas, pois ainda não descobrimos a ferramenta que os criminosos usam para comprometer inicialmente seus alvos”, explica o pesquisador da ESET Facundo Muñoz, que executa o NSPX30 e o Blackwood descoberto. “No entanto, suspeitamos que os invasores estejam implantando o malware nas redes de suas vítimas, instalando-o em dispositivos de rede vulneráveis, como roteadores ou gateways. Isso é apoiado por nossa experiência com agentes de ameaças chineses semelhantes, bem como por investigações recentes sobre implantes de roteadores atribuídos a outro grupo chinês, o MustangPanda.”
Quem são as vítimas de Blackwood?
Os alvos do novo grupo de hackers incluem pessoas não identificadas na China e no Japão e uma pessoa não identificada de língua chinesa ligada à rede de uma prestigiosa universidade pública de pesquisa no Reino Unido. Uma grande empresa de produção e comércio na China, bem como filiais de uma empresa de produção japonesa sediada lá, também se encontraram na mira da Blackwood.
Como observaram os investigadores da ESET, não é fácil para as pessoas e organizações afetadas finalmente defenderem-se dos ataques: os atores tentam repetidamente comprometer os sistemas das suas vítimas assim que o acesso é perdido.
Blackwood Group usa implante cibernético persistente
Blackwood é um grupo de ameaças persistentes avançadas (APT) financiado pelo estado chinês e está ativo pelo menos desde 2018. Desde então, tem conduzido campanhas de espionagem cibernética contra indivíduos e empresas chinesas e japonesas, principalmente através de espionagem cibernética. Ela prefere o método Adversary-in-the-Middle (AitM): os cibercriminosos interferem na comunicação entre o usuário e um serviço legítimo e podem até usá-lo para contornar mecanismos de segurança, como autenticação multifator.
Em seus ataques, o grupo Blackwood utilizou uma ferramenta com o nome enigmático NSPX30. Este é o chamado implante, ou seja, malware que permite aos hackers amplo acesso aos sistemas de suas vítimas. A versão básica desta ferramenta apareceu pela primeira vez em 2005. Este implante contém vários recursos, incluindo um conta-gotas, um instalador, um orquestrador e um backdoor. As duas últimas funções permitem que hackers espionem aplicativos como Skype, Telegram e os serviços de mensagens Tencent QQ e WeChat, particularmente populares na China. Duas funções tornam o implante particularmente sorrateiro:
- NSPX30 pode se infiltrar em várias soluções antimalware chinesas para evitar detecção
- A instalação ocorre por meio de uma atualização oficial: se você tentar baixar aplicativos como o Tencent QQ messenger ou os aplicativos de escritório Sogou Pinyin e atualizações do WPS Office por meio de uma conexão não criptografada, o implante se instala ao mesmo tempo. As vítimas nem precisam acessar um site comprometido ou clicar em um link de phishing para serem infectadas.
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.
Artigos relacionados ao tema