Nossos especialistas encontraram vest\u00edgios da atividade de um novo grupo de espionagem de empresas industriais. Os cibercriminosos realizam ataques direcionados usando uma ferramenta que chamamos\u00a0 de MontysThree e procuram documentos nos computadores das v\u00edtimas. O grupo parece estar ativo desde pelo menos 2018.<\/p>\n
Os cibercriminosos usam t\u00e9cnicas cl\u00e1ssicas de spear-phishing<\/a> para invadir os computadores das v\u00edtimas, enviando e-mails contendo arquivos execut\u00e1veis que emulam documentos em formato .pdf ou .doc para funcion\u00e1rios de corpora\u00e7\u00f5es industriais. Esses arquivos geralmente t\u00eam nomes como \u201cAtualiza\u00e7\u00e3o de dados corporativos\u201d, \u201cEspecifica\u00e7\u00f5es t\u00e9cnicas\u201d, \u201cLista de n\u00fameros de telefone do funcion\u00e1rio 2019\u201d e semelhantes. Em alguns casos, os invasores tentam fazer com que os arquivos pare\u00e7am documentos m\u00e9dicos, com nomes como \u201cResultados de an\u00e1lises m\u00e9dicas\u201d ou \u201cInvitro-106650152-1.pdf\u201d (Invitro \u00e9 um dos laborat\u00f3rios cl\u00ednicos mais importantes da R\u00fassia).<\/p>\n O MontysThree procura documentos espec\u00edficos nos formatos Microsoft Office e Adobe Acrobat localizados em v\u00e1rios diret\u00f3rios e m\u00eddias conectados. Ap\u00f3s a infec\u00e7\u00e3o, o malware rastreia um perfil do computador da v\u00edtima: ele envia a vers\u00e3o do sistema, uma lista de processos e prints da \u00e1rea de trabalho para o servidor de comando e controle<\/a>, bem como uma lista de documentos abertos recentemente, junto com seus extens\u00f5es .doc, .docx, .xls, .xlsx, .rtf, .pdf, .odt, .psw e .pwd nos diret\u00f3rios USERPROFILE e APPDATA.<\/p>\n Os desenvolvedores implementaram v\u00e1rios mecanismos um tanto incomuns em seu malware. Por exemplo, ap\u00f3s a infec\u00e7\u00e3o, o m\u00f3dulo de download extrai e descriptografa o m\u00f3dulo principal, que \u00e9 criptografado em uma imagem usando estenografia<\/a> . Nossos especialistas acreditam que os invasores escreveram o algoritmo de esteganografia do zero; ou seja, eles n\u00e3o o copiaram de amostras de c\u00f3digo aberto, como costuma ser o caso.<\/p>\n O malware se comunica com o servidor de comando e controle usando servi\u00e7os de nuvem p\u00fablica, como Google, Microsoft e Dropbox, bem como WebDAV. Al\u00e9m disso, o m\u00f3dulo de comunica\u00e7\u00e3o pode enviar solicita\u00e7\u00f5es usando RDP e Citrix. Para piorar as coisas, os criadores do malware n\u00e3o inseriram nenhum protocolo de comunica\u00e7\u00e3o em seu c\u00f3digo; em vez disso, MontyThree usa programas leg\u00edtimos (RDP, clientes Citrix e Internet Explorer).<\/p>\n Para manter o malware no sistema da v\u00edtima pelo maior tempo poss\u00edvel, um m\u00f3dulo auxiliar modifica os atalhos no painel de inicializa\u00e7\u00e3o r\u00e1pida do Windows, para que quando o usu\u00e1rio inicie um atalho (por exemplo, para abrir o navegador ), o m\u00f3dulo carregador MontyThree \u00e9 executado ao mesmo tempo.<\/p>\n Nossos especialistas n\u00e3o veem sinais de vincula\u00e7\u00e3o dos criadores do MontysThree a ataques recentes. Este parece ser um grupo inteiramente novo de cibercriminosos e, a julgar por v\u00e1rios trechos do c\u00f3digo, o russo \u00e9 a l\u00edngua materna dos autores. Al\u00e9m disso, provavelmente seu principal alvo ser\u00e3o as empresas que tamb\u00e9m t\u00eam o russo como idioma; alguns dos diret\u00f3rios pesquisados pelo malware existem na vers\u00e3o cir\u00edlica do sistema. Embora nossos especialistas tamb\u00e9m tenham encontrado informa\u00e7\u00f5es de contas de servi\u00e7os de comunica\u00e7\u00e3o que sugerem uma origem na China, elas parecem iscas falsas destinadas a esconder os rastros dos invasores.<\/p>\n Nesta postagem da Securelist, voc\u00ea encontrar\u00e1 uma descri\u00e7\u00e3o t\u00e9cnica detalhada do MontysThree, junto com indicadores de comprometimento.<\/a><\/p>\n Primeiro, reforce a comunica\u00e7\u00e3o interna, com seus funcion\u00e1rios, que os ataques direcionados geralmente come\u00e7am com e-mail, ent\u00e3o eles devem ser extremamente cautelosos ao abrir arquivos, especialmente aqueles que n\u00e3o est\u00e3o esperando. Para garantir que eles entendam a necessidade desse alerta, recomendamos que voc\u00ea n\u00e3o apenas mencione os perigos de tal comportamento, mas tamb\u00e9m desenvolva suas habilidades para combater ciberamea\u00e7as atuais usando o Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n\nO que os cibercriminosos buscam?<\/h2>\n
O que mais o MontysThree pode fazer?<\/h2>\n
Quem s\u00e3o os respons\u00e1veis pelo ataque?<\/h2>\n
Como agir?<\/h2>\n