{"id":14665,"date":"2020-04-06T21:19:37","date_gmt":"2020-04-07T00:19:37","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=14665"},"modified":"2020-04-06T21:46:18","modified_gmt":"2020-04-07T00:46:18","slug":"holy-water-apt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/","title":{"rendered":"APT Holy Water: os perigos da \u00e1gua benta"},"content":{"rendered":"

No final de 2019, nossos especialistas usaram a t\u00e9cnica do watering hole<\/a> para descobrir um ataque direcionado. Sem implantar truques sofisticados ou explorar vulnerabilidades, os invasores infectaram os dispositivos de usu\u00e1rios na \u00c1sia por um per\u00edodo de pelo menos oito meses. Com base no assunto dos sites usados \u200b\u200bpara espalhar o malware, a amea\u00e7a foi batizada como Holy Water (ou \u00c1gua Benta, na tradu\u00e7\u00e3o livre). Este \u00e9 o segundo ataque que descobrimos em v\u00e1rios meses a usar essas t\u00e1ticas (veja aqui<\/a> a outra descoberta de nossos pesquisadores).<\/p>\n

Como o Holy Water infecta o dispositivo do usu\u00e1rio?<\/h2>\n

Parece que em algum momento os invasores comprometeram um servidor que hospedava sites e portais pertencentes principalmente a figuras religiosas, organiza\u00e7\u00f5es p\u00fablicas e institui\u00e7\u00f5es de caridade. Os cibercriminosos incorporaram scripts mal-intencionados no c\u00f3digo dessas p\u00e1ginas, que foram usadas para realizar os ataques.<\/p>\n

Quando os usu\u00e1rios visitavam uma p\u00e1gina infectada, os scripts usavam ferramentas perfeitamente leg\u00edtimas para coletar dados sobre eles e encaminh\u00e1-los para um servidor de terceiros para valida\u00e7\u00e3o. N\u00e3o sabemos como as v\u00edtimas foram selecionadas, mas em resposta \u00e0s informa\u00e7\u00f5es recebidas, se o alvo fosse promissor, o servidor enviava um comando para continuar o ataque.<\/p>\n

A pr\u00f3xima etapa envolveu um truque que se tornou padr\u00e3o (em uso por mais de uma d\u00e9cada): o usu\u00e1rio recebe uma solicita\u00e7\u00e3o para atualizar o Adobe Flash Player, que estava na vers\u00e3o defasada e com problemas de seguran\u00e7a. Se a v\u00edtima consentir, em vez da atualiza\u00e7\u00e3o prometida, a backdoor Godlike12 era baixada e instalada no computador.<\/p>\n

O perigo do Godlike12<\/h2>\n

Os mentores do ataque fizeram uso ativo de servi\u00e7os leg\u00edtimos, tanto para criar perfil de v\u00edtimas quanto para armazenar o c\u00f3digo malicioso (a backdoor foi citada no GitHub). Ele se comunicava com os servidores da C&C pelo Google Drive.<\/p>\n

A backdoor colocava um identificador no armazenamento do Google Drive e fazia chamadas regulares para verificar os comandos dos invasores. Os resultados da execu\u00e7\u00e3o de tais comandos tamb\u00e9m foram enviados para l\u00e1. De acordo com nossos especialistas, o objetivo do ataque era o reconhecimento e a coleta de informa\u00e7\u00f5es de dispositivos comprometidos.<\/p>\n

Para os interessados \u200b\u200bnos detalhes t\u00e9cnicos e nas ferramentas empregadas, consulte a publica\u00e7\u00e3o da Securelist sobre o Holy Water<\/a>, que tamb\u00e9m lista os indicadores de comprometimento.<\/p>\n

Como se proteger dos perigos da \u00e1gua benta<\/h2>\n

At\u00e9 agora, vimos o Holy Water apenas na \u00c1sia. No entanto, as ferramentas usadas na campanha s\u00e3o bastante simples e podem ser implantadas em outros lugares facilmente. Portanto, recomendamos que todos os usu\u00e1rios levem essas recomenda\u00e7\u00f5es a s\u00e9rio, independentemente de onde vivem.<\/p>\n

N\u00e3o podemos dizer se o ataque \u00e9 direcionado contra certos indiv\u00edduos ou organiza\u00e7\u00f5es. Mas uma coisa \u00e9 certa: qualquer pessoa pode visitar os sites infectados a partir de dispositivos dom\u00e9sticos e corporativos. Portanto, nosso conselho principal \u00e9 proteger qualquer dispositivo com acesso \u00e0 internet. N\u00f3s oferecemos op\u00e7\u00f5es de seguran\u00e7a tanto para computadores quanto para corporativos<\/a>. Nossos produtos detectam e bloqueiam todas as ferramentas e t\u00e9cnicas usadas pelos criadores de Holy Water.
\n<\/p>\n","protected":false},"excerpt":{"rendered":"

Invasores est\u00e3o infectando o computador de usu\u00e1rios com backdoor disfar\u00e7ada de uma atualiza\u00e7\u00e3o do Adobe Flash Player.<\/p>\n","protected":false},"author":700,"featured_media":14666,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[71,1489,1185,2075],"class_list":{"0":"post-14665","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apt","11":"tag-ataques-direcionados","12":"tag-business","13":"tag-watering-hole"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/holy-water-apt\/14665\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/holy-water-apt\/19986\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/holy-water-apt\/16266\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/holy-water-apt\/21323\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/holy-water-apt\/19567\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/holy-water-apt\/18311\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/holy-water-apt\/22296\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/holy-water-apt\/21203\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/holy-water-apt\/27912\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/holy-water-apt\/8032\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/holy-water-apt\/34552\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/holy-water-apt\/14564\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/holy-water-apt\/13254\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/holy-water-apt\/23551\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/holy-water-apt\/25238\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/holy-water-apt\/21959\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/holy-water-apt\/27182\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/holy-water-apt\/27020\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/14665","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=14665"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/14665\/revisions"}],"predecessor-version":[{"id":14667,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/14665\/revisions\/14667"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/14666"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=14665"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=14665"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=14665"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}