content/pt-br/images/repository/isc/2017-images/malware-img-16.jpg
DEFINIÇÃO DO VÍRUS

Tipo de vírus: malware/ameaça persistente avançada (APT)

O que é?

Crouching Yeti é uma ameaça envolvida em diversas campanhas de ameaças persistentes avançadas (APTs) que está ativa pelo menos desde o final de 2010.

Os principais setores atingidos por essa ameaça incluem:

  • Industrial/maquinário
  • Manufatura
  • Farmacêutico
  • Construção
  • Educação
  • Tecnologia da informação

Após uma pesquisa detalhada, determinou-se que a maior quantidade de vítimas identificadas se enquadrava no setor industrial/maquinários de construção, um bom indício de que esse é um setor de interesse específico.

A ameaça Crouching Yeti usava três métodos para infectar as vítimas, e-mails de phishing que usam documentos em PDF incorporados com uma exploit do Adobe Flash (CVE-2011-0611)

  • Instaladores do software Trojanized
  • Ataques de watering hole que usam diversas exploits reutilizadas

Detalhes da ameaça

O Crouching Yeti é uma campanha pouco sofisticada. Por exemplo, os invasores não usavam exploits de "dia zero", somente exploits amplamente disponíveis na Internet. Mas isso não evitou que a campanha ficasse sob os radares por anos.

O total de vítimas conhecidas excede 2.800 no mundo todo, dentre as quais os pesquisadores da Kaspersky Lab conseguiram identificar 101 organizações. Essa lista de vítimas parece indicar o interesse do Crouching Yeti em alvos estratégicos, mas também demonstra o interesse do grupo em muitas outras instituições não tão óbvias.

Os especialistas da Kaspersky Lab acreditam que haja outras vítimas, mas também é cabível redefinir o Crouching Yeti não só como uma campanha altamente direcionada a uma área muito específica, mas também como uma ampla campanha de vigilância, com interesse em diferentes setores.

Como saber se fui infectado pelo Crouching Yeti?

A melhor maneira de determinar se você foi vítima do Crouching Yeti é identificar se houve invasão. A identificação de ameaças pode ser feita por um produto antivírus eficiente, como o Kaspersky Anti-Virus.

Os produtos da Kaspersky Lab detectam o malware envolvido na campanha Crouching Yeti com as seguintes definições:

  • Trojan.Win32.Sysmain.xxx
  • Trojan.Win32.Havex.xxx
  • Trojan.Win32.ddex.xxx
  • Backdoor.MSIL.ClientX.xxx
  • Trojan.Win32.Karagany.xxx
  • Trojan-Spy.Win32.HavexOPC.xxx
  • Trojan-Spy.Win32.HavexNk2.xxx
  • Trojan-Dropper.Win32.HavexDrop.xxx
  • Trojan-Spy.Win32.HavexNetscan.xxx
  • Trojan-Spy.Win32.HavexSysinfo.xxx

Como posso me proteger do Crouching Yeti?

  • Mantenha todos os programas de software atualizados. Nenhuma das exploits usadas pelas ameaças Crouching Yeti envolveu ataques de "dia zero", ou seja, a maioria das infecções podia ter sido evitada com o uso de um software de terceiros atualizado.
  • Instale e mantenha sua solução de segurança atualizada para evitar infecções por vírus.
  • O treinamento é uma parte importante da segurança, principalmente com relação a e-mails de phishing.

Malware Crouching Yeti (Energetic Bear)

O que é a ameaça de malware Crouching Yeti (Energetic Bear), o que ela faz e como saber se você foi infectado? Saiba como se manter protegido on-line.
Kaspersky Logo