O grupo de hackers APT15 que tornou-se conhecido por seus ataques de alto perfil contra US Militar desenvolveu uma nova ferramenta de malware perigoso chamado MirageFox. Acredita-se que é uma versão atualizada das ameaças lançadas anteriormente. Uma análise técnica detalhada mostra que ele é capaz de infligir muitos danos aos computadores alvo.
O malware MirageFox é a arma mais recente usada pelos hackers APT15
O grupo de hackers APT15 é uma das organizações criminosas mais conhecidas que se acredita ser afiliada ao governo chinês. Ao longo dos anos, eles foram vistos atacando principalmente alvos militares e governamentais de alto nível, usando métodos sofisticados de infecção. Outros alvos incluem empresas multinacionais em setores como petróleo e similares. Um mecanismo de assinatura que eles empregam é que visam os aplicativos instalados nos computadores da estação de trabalho. Assim que a rede for violada, eles usarão soluções personalizadas para continuar os ataques.
O malware MirageFox foi descoberto por uma assinatura híbrida que parece conter assinaturas de armas anteriores usadas pelo grupo. Os analistas de segurança observam que a nova ferramenta é programada de forma a evitar descoberta instantânea. As classificações de detecção mostram que a maioria do software de segurança não consegue identificá-lo como uma assinatura de vírus.
Uma análise completa ainda não está disponível, pois os analistas não foram capazes de capturar uma amostra completa do código MirageFox. Os trechos disponíveis mostram como a ameaça reagirá assim que as infecções iniciais forem feitas. No entanto, detalhes sobre como o mecanismo exato funciona ainda não estão disponíveis.
Recursos de malware MirageFox
As informações parciais que estão disponíveis para MirageFox mostram que ele inclui várias propriedades que permitem infectar os alvos em um nível profundo. As seguintes táticas de infecção são confirmadas nas cepas capturadas:
- processar Hookup - O MirageFox pode se conectar a processos e serviços do sistema ou instalados pelo usuário. Isso o torna muito útil ao coletar dados confidenciais sobre as vítimas e seus dados de entrada.
- Conexão do servidor - O malware MirageFox pode criar uma conexão segura com um servidor controlado por hacker. Isso pode ser usado para relatar as infecções feitas, bem como espionar as vítimas em tempo real. Usando este módulo, os hackers podem obter acesso às máquinas das vítimas. Este mecanismo também é útil para implantar ameaças adicionais aos hosts.
- Bypass de segurança - O malware MirageFox pode ser programado para superar o software de segurança que pode interferir em sua execução correta.
Uma inspeção adicional sobre as amostras capturadas mostra que os servidores controlados por hackers relatados são encontrados em servidores de rede interna. Isso leva os especialistas a acreditar que o vírus foi feito especificamente contra os alvos ou que a conexão está sendo feita por um túnel através de uma VPN (rede privada virtual).
Prevemos que mais relatórios sobre as operações do APT15 estarão disponíveis, já que o grupo é conhecido por ter como alvo empresas e agências usando diferentes táticas.