{"id":11632,"date":"2019-04-11T18:26:21","date_gmt":"2019-04-11T21:26:21","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11632"},"modified":"2022-05-05T08:56:57","modified_gmt":"2022-05-05T11:56:57","slug":"gaza-cybergang","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/gaza-cybergang\/11632\/","title":{"rendered":"Grupo de ciberespionagem Gaza age no Oriente M\u00e9dio"},"content":{"rendered":"

Em nossa Kaspersky Security Analyst Summit (SAS), confer\u00eancia na qual j\u00e1 \u00e9 tradi\u00e7\u00e3o falar sobre ataques APT<\/a>, onde j\u00e1 fornecemos em primeira m\u00e3o informa\u00e7\u00f5es sobre Slingshot<\/a>, Carbanak<\/a> e Careto<\/a>.Os ataques direcionados est\u00e3o em ascens\u00e3o e este ano n\u00e3o foi diferente: na SAS 2019 em Cingapura, um dos protagonistas \u00e9 um grupo focado em APTs chamado Gaza Cybergang.<\/p>\n

Um arsenal variado<\/strong><\/h3>\n

O grupo Gaza \u00e9 especialista em ciberespionagem e sua a\u00e7\u00e3o \u00e9 limitada ao Oriente M\u00e9dio e aos pa\u00edses da \u00c1sia Central. Suas v\u00edtimas em potencial s\u00e3o pol\u00edticos, diplomatas, jornalistas, ativistas e outros cidad\u00e3os politicamente ativos da regi\u00e3o.<\/p>\n

Quanto ao n\u00famero de ataques que registramos de janeiro de 2018 a janeiro de 2019, os alvos do topo da lista est\u00e3o dentro do territ\u00f3rio palestino. Houve tamb\u00e9m tentativas de infec\u00e7\u00e3o na Jord\u00e2nia, em Israel e no L\u00edbano. Em seus ataques, o grupo usou m\u00e9todos e ferramentas de v\u00e1rios graus de complexidade.<\/p>\n

Nossos especialistas identificaram tr\u00eas subgrupos na gangue e j\u00e1 rastrearam dois deles. Um foi respons\u00e1vel pela campanha do Desert Falcons<\/a> e o outro estava por tr\u00e1s dos ataques direcionados conhecidos como Operation Parliament<\/a>.<\/p>\n

Bem, agora vamos falar sobre o terceiro, que vamos chamar de MoleRATs. O grupo tem ferramentas relativamente simples, embora sua campanha SneakyPastes (conhecida assim devido ao uso de pastebin.com) n\u00e3o seja nada inofensiva.<\/p>\n

SneakyPastes<\/strong><\/h3>\n

A campanha apresenta v\u00e1rios est\u00e1gios. Come\u00e7a com phishing, enviando e-mails de endere\u00e7os e dom\u00ednios de uso \u00fanico. \u00c0s vezes, os e-mails cont\u00eam links para malware ou anexos infectados. Se a v\u00edtima executar o anexo (ou se acessar o link), o dispositivo ser\u00e1 infectado pelo malware Stage One, programado para ativar a cadeia de infec\u00e7\u00e3o.<\/p>\n

Os e-mails, que buscam ganhar a confian\u00e7a do leitor, costumam estar relacionados \u00e0 pol\u00edtica: negocia\u00e7\u00f5es ou discursos de institui\u00e7\u00f5es de prest\u00edgio.<\/p>\n

Depois de instalado, o One Stage tenta ficar invis\u00edvel no dispositivo, escondendo-se de qualquer solu\u00e7\u00e3o antiv\u00edrus e, mantendo-se oculto no servidor de comando.<\/p>\n

Cibercriminosos usam servi\u00e7os p\u00fablicos (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com e pomf.cat) para as fases posteriores do ataque (incluindo o envio do software malicioso) e, acima de tudo, para se comunicar com o servidor de comando. Normalmente, eles usam v\u00e1rios m\u00e9todos ao mesmo tempo para enviar as informa\u00e7\u00f5es extra\u00eddas.<\/p>\n

Por fim, o dispositivo acaba infectado com um malware RAT<\/a>, que oferece aos cibercriminosos diversas funcionalidades para explor\u00e1-lo, tais como fazer o download e upload livremente de arquivos, executar aplicativos, buscar documentos e criptografar as informa\u00e7\u00f5es.<\/p>\n

O malware varre o computador da v\u00edtima com intuito de localizar todos os arquivos PDF, DOC, DOCX e XLSX, armazenados em pastas tempor\u00e1rias, os classifica e os criptografa, e finalmente, envia para um servidor de comando por meio de uma cadeia de dom\u00ednios.<\/p>\n

N\u00f3s identificamos v\u00e1rias ferramentas neste tipo de ataque. Se voc\u00ea quiser saber mais sobre elas e obter mais informa\u00e7\u00f5es t\u00e9cnicas, n\u00e3o perca o post no Securelist.<\/a><\/p>\n

Prote\u00e7\u00e3o integrada contra amea\u00e7as integradas<\/strong><\/h3>\n

Nossos produtos s\u00e3o projetados para combater com sucesso os componentes usados \u200b\u200bna campanha SneakyPastes. Se voc\u00ea quiser evitar ser uma das v\u00edtimas, siga estas dicas:<\/p>\n