Tipo de vírus: malware/ameaça persistente avançada (APT)
Crouching Yeti é uma ameaça envolvida em diversas campanhas de ameaças persistentes avançadas (APTs) que está ativa pelo menos desde o final de 2010.
Os principais setores atingidos por essa ameaça incluem:
Após uma pesquisa detalhada, determinou-se que a maior quantidade de vítimas identificadas se enquadrava no setor industrial/maquinários de construção, um bom indício de que esse é um setor de interesse específico.
A ameaça Crouching Yeti usava três métodos para infectar as vítimas, e-mails de phishing que usam documentos em PDF incorporados com uma exploit do Adobe Flash (CVE-2011-0611)
O Crouching Yeti é uma campanha pouco sofisticada. Por exemplo, os invasores não usavam exploits de "dia zero", somente exploits amplamente disponíveis na Internet. Mas isso não evitou que a campanha ficasse sob os radares por anos.
O total de vítimas conhecidas excede 2.800 no mundo todo, dentre as quais os pesquisadores da Kaspersky Lab conseguiram identificar 101 organizações. Essa lista de vítimas parece indicar o interesse do Crouching Yeti em alvos estratégicos, mas também demonstra o interesse do grupo em muitas outras instituições não tão óbvias.
Os especialistas da Kaspersky Lab acreditam que haja outras vítimas, mas também é cabível redefinir o Crouching Yeti não só como uma campanha altamente direcionada a uma área muito específica, mas também como uma ampla campanha de vigilância, com interesse em diferentes setores.
A melhor maneira de determinar se você foi vítima do Crouching Yeti é identificar se houve invasão. A identificação de ameaças pode ser feita por um produto antivírus eficiente, como o Kaspersky Anti-Virus.
Os produtos da Kaspersky Lab detectam o malware envolvido na campanha Crouching Yeti com as seguintes definições: