Os pesquisadores da ESET analisaram duas variantes da estrutura yty: Gedit e DarkMusical. Seus ataques de espionagem visam governos e militares no sul da Ásia. A principal tarefa da estrutura de malware yty é coletar e exfiltrar dados.
O grupo de hackers Donot Team (também conhecido como APT-C-35 ou SectorE02) vem conduzindo ataques de espionagem a embaixadas, instalações governamentais e militares e ministérios estrangeiros há pelo menos dois anos. De acordo com a análise dos pesquisadores da ESET, as campanhas do grupo se concentraram em alvos em Bangladesh, Sri Lanka, Paquistão e Nepal. Suas instalações diplomáticas na Europa, Oriente Médio e América também foram atacadas.
Visando Bangladesh, Sri Lanka, Paquistão e Nepal
"Estivemos investigando as atividades da equipe Donot muito de perto e descobrimos várias campanhas", diz Facundo Muñoz, pesquisador da ESET e investigador principal. “Em seus ataques, os hackers contam com o malware do Windows derivado da estrutura de malware yty do grupo”.
O principal objetivo da estrutura de malware yty é coletar e exfiltrar dados. A estrutura consiste em uma cadeia de downloaders que baixam um backdoor para instalar, por meio do qual outros componentes das ferramentas do Donot Team são baixados e executados. Isso inclui coletores de arquivos, capturadores de tela, keyloggers, shells reversos e muito mais.
Ataques de spearphishing em instalações
Uma análise mais detalhada dos dados analíticos revelou que a equipe da Donot tinha como alvo as mesmas instalações com e-mails de spearphishing a cada dois ou quatro meses. As mensagens contêm documentos maliciosos do Microsoft Office anexados, que os invasores usam para proliferar seu malware. Curiosamente, os e-mails que os pesquisadores da ESET puderam examinar não mostraram sinais de falsificação. “Algumas mensagens foram enviadas pelas mesmas organizações que foram atacadas. É possível que os invasores tenham comprometido as caixas de correio de algumas de suas vítimas em campanhas anteriores ou os servidores de correio usados por essas organizações”, diz Muñoz.
Em seu último artigo de blog, os pesquisadores da ESET analisam duas variantes da estrutura de malware yty: Gedit e DarkMusical. Os especialistas do fabricante europeu de segurança de TI decidiram chamar uma variante de DarkMusical porque os invasores escolheram os nomes de celebridades ocidentais ou personagens do filme "High School Musical" para seus dados e pastas. Esse malware foi usado em campanhas de ataque de espionagem que também visavam instalações militares em Bangladesh e no Nepal.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.