O ator do APT, DeathStalker, tem como alvo empresas no mercado forex e de criptomoedas. O conjunto de ferramentas de tecnologia evasiva e furtiva "VileRAT" é distribuído por meio de spear phishing. Empresas na Alemanha também são afetadas pelos ataques.
O ator de ameaças DeathStalker atualizou seu conjunto de ferramentas “VileRAT” de evasão tecnológica e furtiva para atacar empresas de criptomoedas e câmbio, mostra uma análise recente da Kaspersky. As organizações atacadas estão localizadas na Bulgária, Chipre, Alemanha, Kuwait, Malta, Emirados Árabes Unidos, Rússia e Granadinas.
Ator APT de hacker de aluguel
DeathStalker é um ator APT de aluguel cujas atividades a Kaspersky acompanha desde 2018. Até agora, ele tem como alvo principalmente escritórios de advocacia e organizações do setor financeiro; os ataques pareciam não ter motivação política nem financeira. Os especialistas da Kaspersky acreditam que o DeathStalker atua como uma espécie de grupo mercenário que oferece serviços especializados de hacking ou inteligência financeira. Em meados de 2020, a Kaspersky conseguiu identificar uma infecção nova e altamente evasiva com base no implante Python "VileRAT". Desde então, os especialistas acompanham de perto as atividades do jogador e observaram que em 2022 ele está intensamente focado em empresas de câmbio (FOREX) e negociação de criptomoedas em todo o mundo.
O VileRAT é normalmente implantado após uma complicada cadeia de infecção que começa com e-mails de spear phishing. Neste verão, os invasores também usaram chatbots incorporados nos sites públicos das empresas afetadas para enviar documentos maliciosos. Os documentos DOCX são muitas vezes marcados com as palavras-chave "Compliance" ou "Reclamação" (e o nome da empresa-alvo) e pretendem ser respostas a supostos pedidos de identificação ou relatórios de problemas.
Ferramentas refinadas que se camuflam
A campanha VileRAT é notável pela sofisticação das ferramentas usadas e pela enorme infraestrutura maliciosa por trás dela (em comparação com as atividades DeathStalker documentadas anteriormente), pelas inúmeras técnicas de ofuscação usadas durante a infecção, bem como por sua atividade contínua e sustentada desde 2020. A campanha atual mostra DeathStalker fazendo grandes esforços para obter e, em seguida, obter acesso a seus alvos. Os possíveis objetivos dos ataques vão desde due diligence, recuperação de ativos, assistência em litígio ou arbitragem até contornar sanções; o ganho financeiro direto ainda não parece fazer parte disso.
VileRaT não mostra nenhum interesse particular em países específicos; em vez disso, os pesquisadores da Kaspersky relatam organizações afetadas na Bulgária, Chipre, Alemanha, Kuwait, Malta, Emirados Árabes Unidos, Rússia e Granadinas. As organizações identificadas são de todos os tamanhos, desde start-ups recém-formadas até líderes industriais estabelecidos.
enganar, camuflar, esconder
"O objetivo do DeathStalker sempre foi evitar a detecção", explica Pierre Delcher, pesquisador sênior de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “A campanha VileRAT agora levou tudo a um novo nível. Em termos de complexidade e ofuscação, é sem dúvida a campanha mais exigente que vimos deste jogador. As táticas e práticas do DeathStalker são eficazes para atacar alvos mais fáceis. Eles podem não ter experiência suficiente para resistir a tal ataque, podem não ter feito da segurança uma prioridade máxima para sua organização ou interagir frequentemente com terceiros que ainda não o fizeram.”
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/