O malware Remexi recém-descoberto é capaz de se apoderar de capturas de tela, dados do navegador e qualquer texto digitado e utiliza um aplicativo legítimo do Windows para dificultar sua detecção.
Os pesquisadores da Kaspersky Lab detectaram várias tentativas de infectar órgãos diplomáticos estrangeiros no Irã com um spyware caseiro. Aparentemente, os ataques utilizam utilizam uma nova versão do backdoor Remexi. Várias ferramentas legítimas também foram usadas durante a campanha. Este backdoor está associado a um grupo suspeito de ciberespionagem conhecido como Chafer, que utiliza o idioma persa e, anteriormente, foi ligado à espionagem de pessoas no Oriente Médio. O direcionamento às embaixadas sugere que o grupo tenha um novo foco.
A operação destaca como os agentes de ameaças em regiões emergentes estão montando campanhas contra alvos de interesse utilizando malwares caseiros, relativamente simples, combinados com ferramentas publicamente disponíveis. Neste exemplo, os invasores usaram uma versão aprimorada do backdoor Remexi – uma ferramenta que possibilita a administração remota do computador da vítima.
O Remexi foi detectado pela primeira vez em 2015, sendo usado por um grupo de ciberespionagem chamado Chafer para uma operação de vigilância cibernética voltada a pessoas e várias organizações em todo o Oriente Médio. O fato do backdoor utilizado na nova campanha ter semelhanças em seu código com as amostras conhecidas do Remexi, associado ao conjunto de vítimas visadas, fez com que os pesquisadores da Kaspersky Lab o vinculassem ao Chafer com relativa certeza.
O malware Remexi recém-descoberto é capaz de executar comandos remotamente e se apoderar de capturas de tela, dados do navegador, incluindo credenciais de usuários, dados de login e histórico, além de qualquer texto digitado, entre outros. Os dados roubados são extraídos usando o aplicativo legítimo Serviço de Transferência Inteligente em Segundo Plano (BITS) da Microsoft, um componente do Windows projetado para permitir atualizações deste sistema em segundo plano. A tendência de associação de malware com códigos apropriados ou legítimos ajuda os invasores a pouparem tempo e recursos ao criar o malware, além de tornar a atribuição mais complicada.
“Quando falamos em campanhas de ciberespionagem provavelmente patrocinadas por Estados, muitas vezes as pessoas imaginam operações avançadas com ferramentas complexas desenvolvidas por especialistas. No entanto, o pessoal por trás dessa campanha de spyware parece mais com administradores de sistemas do que com grupos especializados em ameaças sofisticadas, pois eles sabemcomo escrever o código, mas a campanha depende mais da utilização criativa de ferramentas que já existem do que de novos recursos avançados ou da elaboração da arquitetura do código. Contudo, mesmo ferramentas relativamente simples podem causar prejuízos significativos. Assim, recomendamos que as organizações protejam suas informações e seus sistemas valiosos de todos os níveis de ameaças e usem serviços de Threat Intelligence para entender como o cenário está evoluindo”, declara Denis Legezo, pesquisador de segurança da Kaspersky Lab.
Os produtos da Kaspersky Lab detectam o malware Remexi renovado como Trojan.Win32.Remexi e Trojan.Win32.Agent.
Para obter mais informações sobre os serviços de inteligência de ameaças da Kaspersky Lab, entre em contato pelo e-mail: intelreports@kaspersky.com
Para proteger-se de spyware direcionado, a Kaspersky Lab recomenda:
- Use uma solução de segurança corporativa comprovada, com funcionalidades contra ataques direcionados e com inteligência de ameaças, como a solução Kaspersky Threat Management and Defense, que é capaz de identificar e bloquear ataques direcionados avançados por meio da análise de anomalias na rede e proporcionar visibilidade total da rede e automação da resposta às equipes de cibersegurança.
- Promova iniciativas de conscientização sobre segurança para capacitar seus funcionários a dominarem a identificação de mensagens suspeitas. O e-mail é um ponto de entrada comum dos ataques direcionados e os clientes da Kaspersky Lab podem se beneficiar do Treinamento de conscientização sobre segurança.
- Permita o acesso de suas equipes de segurança a dados de serviços de Threat Intelligence atualizados para que elas possam acompanhar as táticas e ferramentas mais recentes usadas pelos cibercriminosos, além de aprimorar os controles de segurança em uso.
Leia a versão completa do relatório em Securelist.com.
