Malware Crouching Yeti (Energetic Bear)

DEFINIÇÃO DO VÍRUS

Tipo de vírus: malware/ameaça persistente avançada (APT)

O que é?

Crouching Yeti é uma ameaça envolvida em diversas campanhas de ameaças persistentes avançadas (APTs) que está ativa pelo menos desde o final de 2010.

Os principais setores atingidos por essa ameaça incluem:

• Industrial/maquinário
• Manufatura
• Farmacêutico
• Construção
• Educação
• Tecnologia da informação

Após uma pesquisa detalhada, determinou-se que a maior quantidade de vítimas identificadas se enquadrava no setor industrial/maquinários de construção, um bom indício de que esse é um setor de interesse específico.

A ameaça Crouching Yeti usava três métodos para infectar as vítimas, e-mails de phishing que usam documentos em PDF incorporados com uma exploit do Adobe Flash (CVE-2011-0611)

• Instaladores do software Trojanized
• Ataques de watering hole que usam diversas exploits reutilizadas

Detalhes da ameaça

O Crouching Yeti é uma campanha pouco sofisticada. Por exemplo, os invasores não usavam exploits de "dia zero", somente exploits amplamente disponíveis na Internet. Mas isso não evitou que a campanha ficasse sob os radares por anos.

O total de vítimas conhecidas excede 2.800 no mundo todo, dentre as quais os pesquisadores da Kaspersky Lab conseguiram identificar 101 organizações. Essa lista de vítimas parece indicar o interesse do Crouching Yeti em alvos estratégicos, mas também demonstra o interesse do grupo em muitas outras instituições não tão óbvias.

Os especialistas da Kaspersky Lab acreditam que haja outras vítimas, mas também é cabível redefinir o Crouching Yeti não só como uma campanha altamente direcionada a uma área muito específica, mas também como uma ampla campanha de vigilância, com interesse em diferentes setores.

Como saber se fui infectado pelo Crouching Yeti?

A melhor maneira de determinar se você foi vítima do Crouching Yeti é identificar se houve invasão. A identificação de ameaças pode ser feita por um produto antivírus eficiente, como o Kaspersky Anti-Virus.

Os produtos da Kaspersky Lab detectam o malware envolvido na campanha Crouching Yeti com as seguintes definições:

• Trojan.Win32.Sysmain.xxx
• Trojan.Win32.Havex.xxx
• Trojan.Win32.ddex.xxx
• Backdoor.MSIL.ClientX.xxx
• Trojan.Win32.Karagany.xxx
• Trojan-Spy.Win32.HavexOPC.xxx
• Trojan-Spy.Win32.HavexNk2.xxx
• Trojan-Dropper.Win32.HavexDrop.xxx
• Trojan-Spy.Win32.HavexNetscan.xxx
• Trojan-Spy.Win32.HavexSysinfo.xxx

Como posso me proteger do Crouching Yeti?

• Mantenha todos os programas de software atualizados. Nenhuma das exploits usadas pelas ameaças Crouching Yeti envolveu ataques de "dia zero", ou seja, a maioria das infecções podia ter sido evitada com o uso de um software de terceiros atualizado.
• Instale e mantenha sua solução de segurança atualizada para evitar infecções por vírus.
• O treinamento é uma parte importante da segurança, principalmente com relação a e-mails de phishing.