Uma série de novos spyware foi detectado por pesquisadores de segurança. Apelidado de Caracal escuro, as campanhas parecem estar operando a partir de um prédio do governo no Líbano. As campanhas atacaram milhares de vítimas em pelo menos 21 países. A ampla gama de alvos também pode significar que Dark Caracal é a mais recente forma de spyware de aluguel, The Verge escreveu.
As novas descobertas foram feitas pela Lookout Security e pela Electronic Frontier Foundation.
Campanhas de Spyware Dark Caracal explicadas
Esta não é a primeira vez que Dark Caracal é associado a campanhas de spyware provenientes de governos. Houve ataques iniciados por ataques de spear phishing e watering hole que continuaram com implantes de malware implantados para desviar secretamente dados dos telefones celulares dos alvos.
Dados vazados incluíam senhas, registros telefônicos e bate-papos - ou o tipo de informação que revela onde o alvo esteve e descreve suas comunicações. Mesmo que Dark Caracas não seja necessariamente sofisticado em suas abordagens, o dano que pode causar pode ser bastante desastroso para o indivíduo em particular.
Os pesquisadores conseguiram obter acesso a um dos servidores controlados por hackers, e eles foram capazes de vincular os dados ao edifício do governo mencionado acima no Líbano. Os registros da rede Wi-Fi foram descobertos no servidor. Curiosamente, a maioria das conexões ofereciam dados escassos, o que significa que vinham de dispositivos de teste. Uma dessas conexões, chamado “Bld3F6”, foi rastreado e conectado a um edifício em Beirute que pertence à Diretoria Geral de Segurança Geral do Líbano, disseram pesquisadores. Esta é a principal agência de inteligência do Líbano.
Dentro do cluster de dispositivos de teste, notamos o que poderiam ser redes Wi-Fi exclusivas. Saber que redes Wi-Fi podem ser usadas para posicionamento de localização, usamos esses dados para localizar onde esses dispositivos podem estar, digitando identificadores de rede. Focamos especificamente na rede Wi-Fi SSID Bld3F6. Usando o serviço de geolocalização por Wi-Fi Wigle.net, vimos essas redes Wi-Fi de dispositivos de teste mapeadas para Beirute. Também notamos redes Wi-Fi com SSID Bld3F6 mapeadas perto do prédio de Segurança Geral em Beirute, Líbano.
De acordo com Eva Galperin, um dos autores do relatório e diretor da EFF, esta rede “Bld3F6” é a primeira que todos os dispositivos de teste conectados. Os pesquisadores foram capazes de ver todos os tipos de informações com base nisso.
Os pesquisadores também acreditam que o spyware não está apenas vinculado à Diretoria Geral de Segurança Geral do Líbano. Seis campanhas foram rastreadas e detalhadas no relatório, em áreas como a Alemanha, Paquistão, e Venezuela. O mesmo ataque também foi detectado em 2015 contra dissidentes no Cazaquistão. Esses detalhes são muito importantes, pois é altamente improvável que o governo do Líbano seja o único perpetrador. É muito mais provável que o spyware Dark Caracas faça parte de um novo serviço de spyware.
além do que, além do mais:
Dark Caracal segue a cadeia de ataque típica para ciberespionagem do lado do cliente. As ferramentas móveis incluem um Lookout de implante de vigilância Android escrito personalizado chamado Pallas e uma amostra de FinFisher até então desconhecida. As ferramentas de desktop do grupo incluem a família de malware Bandook e uma ferramenta de monitoramento de desktop recém-descoberta que chamamos de CrossRAT, que é capaz de infectar o Windows, Linux, e sistemas operacionais OS X.
Para mais detalhes, dê uma olhada no original relatório.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: