O grupo de hackers APT28, também conhecida como Urso Fantasia, iniciou uma campanha de ataque global, usando documentos infectados que se referem aos recentes ataques terroristas em Nova Iorque. O coletivo criminoso está usando uma vulnerabilidade recente que afeta um componente dos produtos do Microsoft Office chamado DDE (Intercâmbio dinâmico de dados).
Campanha de hackers APT28 aproveita os ataques terroristas de Nova York
Pesquisadores de segurança de computadores descobriram uma nova campanha global operada pelo grupo de hackers APt28. Esse coletivo criminoso é amplamente conhecido por ter uma compreensão muito profunda da segurança cibernética e ganhou as manchetes várias vezes. Uma de suas violações mais famosas é uma intrusão no ano passado no Comitê Nacional Democrata após as eleições presidenciais americanas..
Desta vez, o grupo está usando a estratégia de criar grandes conjuntos de mensagens de e-mail que são enviadas às vítimas. Eles apresentam táticas de engenharia social que manipulam as vítimas para interagir com elas. Fornecer documentos ou arquivos de interesse das vítimas é um dos métodos mais usados e perigosos de instituição de malware.
Acredita-se que as mensagens podem ter sido enviadas recentemente a militares na França ou na Alemanha. Isso se baseia em vários avistamentos de atividade semelhante pelo grupo de acordo com relatórios de segurança feitos por especialistas que rastreiam seu movimento. De momento a informação disponível mostra que os alvos atuais são os utilizadores europeus. Os pesquisadores apontam que o documento “tema” de uma campanha de malware recente é chamado “SabreGuardian” que é uma referência direta às operações do exército americano na Europa.
O APT28 parece estar empregando a estratégia de aproveitar as últimas notícias e histórias que têm um grande impacto. A campanha que tem as últimas preocupações usa títulos que remetem aos recentes ataques terroristas na cidade de Nova York. O fato de terem sido enviados para pessoas na Europa mostra que é possível que os hackers finjam ser uma fonte de notícias, informante ou outro tipo de provedor.
Os pesquisadores observam que as mensagens usam vários títulos e endereços para enganar os alvos para abri-los. Surpreendentemente, o corpo do texto está vazio e os alvos encontrarão documentos de diferentes tipos anexados diretamente. Eles podem ser documentos rich text, apresentações, planilhas ou outro arquivo popular. Se continuarem com a interação, segue-se uma infecção viral perigosa.
Malware APT28 aproveita a vulnerabilidade DDE do Microsoft Office
O APT28 usa um antigo recurso do Microsoft Office chamado Intercâmbio dinâmico de dados (DDE) que ainda está sendo utilizado por partes da suíte. Embora muitas implementações de tecnologia mais recentes tenham se tornado o padrão, o módulo DDE ainda é mantido e ativo por padrão, mesmo nas versões mais recentes do Microsoft Office. Ele foi originalmente usado pela empresa para permitir que seus usuários coloquem facilmente dados de um documento para outro por meio de injeção de código. Este é um componente muito útil quando se trata de atualizar dinamicamente campos de dados em documentos localizados em um compartilhamento de rede.
Por mais conveniente que pareça, o recurso DDE pode ser facilmente abusado pelos criminosos para lançar scripts e comandos no computador da vítima. No ano passado, outro grupo criminoso utilizou um ataque DDE que não apenas resultou em uma invasão bem-sucedida, mas também ignorou o mecanismo de proteção antivírus. Isso é feito por meio de scripts do PowerShell que permitem que os invasores executem códigos arbitrários colocados pelos hackers.
Os ataques APT28 avistados são bem-sucedidos mesmo se as macros estiverem desabilitadas. O documento malicioso primário que está sendo enviado aos alvos é chamado “IsisAttackInNewYork.docx” e sua data de criação é 2017-10-27T22:23:00com. Uma vez que as vítimas o abrem, uma série de comandos perigosos segue.
- Implantação inicial de malware ‒ A primeira ação baixa o malware Seduploader de um local remoto. Este é um servidor controlado por hackers que pode hospedar uma infinidade de ameaças que podem ser alteradas dinamicamente dependendo dos objetivos pretendidos.
- O componente perigoso é uma ferramenta de reconhecimento de primeiro estágio capaz de extrair uma infinidade de dados das máquinas vítimas. A criação de perfil das máquinas é uma etapa importante que é capaz de categorizar os alvos pelo sistema.
- Infecção por malware adicional ‒ Dependendo dos resultados e das instruções incorporadas, as máquinas podem ser infectadas com diferentes ameaças.
Ao que parece, o grupo de hackers APT28 está usando uma abordagem bastante sofisticada, combinando uma metodologia de infecção generalizada, truques comprovados de engenharia social e uma variedade de diferentes linhagens de malware como resultado da invasão.
Impacto e consequências da campanha de malware APT28
Os hackers do APT28 distribuem os arquivos perigosos visando não apenas os usuários finais, mas também pessoal sensível. Os pesquisadores de segurança observam que, embora a campanha atual provavelmente tenha como alvo oficiais militares na Europa, os ataques podem ser empregados contra usuários corporativos.. Tais estratégias são amplamente utilizadas contra usuários finais ao implantar formas avançadas de ransomware.
As consequências perigosas relacionadas às invasões feitas é que se especula que redes sensíveis foram afetadas. Além disso, o código dinâmico permite que os operadores de hackers selecionem automaticamente ou manualmente o malware mais apropriado. Combinado com o fato de que a infecção inicial extrai muitas informações detalhadas sobre a máquina comprometida, assim como a rede.
Recomendamos fortemente que todos os usuários empreguem uma solução anti-spyware de qualidade. É capaz de remover infecções ativas de todos os tipos de vírus, Trojans e sequestradores de navegador e excluí-los com alguns cliques do mouse.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter