A caixa de ferramentas cibercriminosas est\u00e1 em constante evolu\u00e7\u00e3o. O exemplo mais recente: a estrutura maliciosa MATA, descoberta por nossos especialistas h\u00e1 pouco tempo. Os criminosos cibern\u00e9ticos estavam usando-a para atacar infraestruturas corporativas em todo o mundo. Ela pode funcionar em v\u00e1rios sistemas operacionais e possui uma ampla variedade de ferramentas.<\/p>\n
Potencialmente, os malfeitores podem usar a MATA para uma ampla variedade de finalidades. No entanto, nos casos que analisamos, eles tentavam encontrar e roubar informa\u00e7\u00f5es de bancos de dados de clientes na infraestrutura das v\u00edtimas. Em pelo menos um caso, tamb\u00e9m usaram o MATA para espalhar ransomware (nossos especialistas prometem um estudo separado sobre esse incidente).<\/p>\n
A esfera de interesse dos criminosos era bastante ampla. Entre as v\u00edtimas identificadas estavam desenvolvedores de software, provedores de Internet, sites de com\u00e9rcio eletr\u00f4nico e outros. A geografia do ataque tamb\u00e9m foi bastante extensa \u2013 detectamos tra\u00e7os da atividade do grupo na Pol\u00f4nia, Alemanha, Turquia, Cor\u00e9ia, Jap\u00e3o e \u00cdndia.<\/p>\n
O MATA n\u00e3o \u00e9 simplesmente um malware rico em recursos. \u00c9 um tipo de construtor para carregar ferramentas como e quando necess\u00e1rio. Vamos come\u00e7ar com o fato de que o MATA pode atacar computadores que executam os tr\u00eas sistemas operacionais mais populares: Windows, Linux e macOS.<\/p>\n
Primeiro, nossos especialistas detectaram ataques direcionados a m\u00e1quinas Windows. Eles ocorrem em v\u00e1rias etapas. No in\u00edcio, os operadores executavam um carregador no computador da v\u00edtima que implantava o chamado m\u00f3dulo orquestrador, que, por sua vez, baixava m\u00f3dulos capazes de uma variedade de fun\u00e7\u00f5es maliciosas.<\/p>\n
Dependendo das caracter\u00edsticas do cen\u00e1rio de ataque espec\u00edfico, os m\u00f3dulos podem ser carregados de um servidor HTTP ou HTTPS remoto, de um arquivo criptografado no disco r\u00edgido ou transferidos pela infraestrutura MataNet por uma conex\u00e3o TLS 1.2. Os diversos plug-ins da MATA podem:<\/p>\n
Em uma investiga\u00e7\u00e3o mais aprofundada, nossos especialistas encontraram um conjunto semelhante de ferramentas para Linux. Al\u00e9m da vers\u00e3o Linux do orquestrador e plug-ins, ele continha o utilit\u00e1rio de linha de comando Socat<\/a> leg\u00edtimo e scripts para explorar a vulnerabilidade CVE-2019-3396 no Atlassian Confluence Server.<\/p>\n O conjunto de plug-ins \u00e9 um pouco diferente daquele do Windows. Em particular, h\u00e1 um plug-in extra pelo qual o MATA tenta estabelecer uma conex\u00e3o TCP usando a porta 8291 (usada para administrar dispositivos executando o RouterOS) e a porta 8292 (usada no software Bloomberg Professional). Se a tentativa de estabelecer uma conex\u00e3o for bem-sucedida, o plug-in transferir\u00e1 o log para o servidor C&C. Presume-se que a fun\u00e7\u00e3o serve para localizar novos alvos.<\/p>\n Quanto \u00e0s ferramentas do macOS, elas foram encontradas em um aplicativo trojanizado baseado em software de c\u00f3digo aberto. Em termos de funcionalidade, a vers\u00e3o do macOS era quase id\u00eantica \u00e0 do seu primo Linux.<\/p>\n Voc\u00ea encontrar\u00e1 uma descri\u00e7\u00e3o t\u00e9cnica detalhada da estrutura, juntamente com indicadores de comprometimento, nesta postagem do Securelist<\/a>.<\/p>\n Nossos especialistas vinculam a MATA ao grupo Lazarus APT<\/a> e os ataques realizados com essa estrutura s\u00e3o definitivamente direcionados. Os pesquisadores est\u00e3o certos de que a MATA continuar\u00e1 evoluindo. Portanto, recomendamos que mesmo as pequenas empresas pensem em implantar tecnologias avan\u00e7adas para se proteger n\u00e3o apenas das amea\u00e7as em massa, mas tamb\u00e9m de tipos mais complexos. Especialmente para estes casos, oferecemos uma solu\u00e7\u00e3o integrada que combina a funcionalidade Endpoint Protection Platform (EPP) e Endpoint Detection and Response (EDR) com ferramentas adicionais. Voc\u00ea pode aprender mais sobre isso em nosso site<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Nossos especialistas detectaram uma estrutura de malware que os cibercriminosos usam para atacar v\u00e1rios sistemas operacionais.<\/p>\n","protected":false},"author":2581,"featured_media":15888,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[71,799,896,35],"class_list":{"0":"post-15887","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-b2b","11":"tag-lazarus","12":"tag-malware-2"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/mata-framework\/15887\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mata-framework\/21618\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mata-framework\/17082\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/mata-framework\/8456\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mata-framework\/22890\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mata-framework\/21077\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mata-framework\/19759\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/mata-framework\/23556\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/mata-framework\/22387\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mata-framework\/28793\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mata-framework\/8655\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mata-framework\/36458\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mata-framework\/15353\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/mata-framework\/13711\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mata-framework\/24769\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/mata-framework\/28875\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/mata-framework\/25729\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mata-framework\/22638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mata-framework\/27903\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mata-framework\/27739\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=15887"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15887\/revisions"}],"predecessor-version":[{"id":15889,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/15887\/revisions\/15889"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/15888"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=15887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=15887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=15887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Como se proteger?<\/h2>\n