Tipo de vírus: malware, ameaça persistente avançada (APT)
O mais recente ataque de vírus, "Darkhotel", passou pela análise da Equipe de Pesquisa e Análise Global da Kaspersky Lab. A ameaça Darkhotel parece ser uma combinação de phishing e um malware perigoso, criada para capturar dados confidenciais.
Os criminosos virtuais por trás do Darkhotel operam há quase uma década, tendo atingido milhares de vítimas no mundo todo. 90% das infecções do Darkhotel foram encontradas no Japão, Taiwan, China, Rússia e Coreia, mas também houve ataques na Alemanha, EUA, Indonésia, Índia e Irlanda
Esta campanha é incomum por empregar níveis variados de intenção maliciosa.
Em uma ponta do espectro, são usados e-mails de phishing para a infiltração em bases industriais de defesa (DIB), governos, ONGs, grandes fabricantes de eletrônicos e periféricos, empresas farmacêuticas, provedores médicos, organizações militares e legisladores do setor de energia. Os ataques seguem o processo típico do phishing, com implantes do Darkhotel completamente disfarçados. O conteúdo do falso e-mail geralmente envolve temas como energia nuclear e recursos de armamentos. Nos últimos anos, muitos e-mails de phishing continham uma exploração de "dia zero" da Adobe anexada ou links que redirecionam o navegador da vítima para exploits de "dia zero" do Internet Explorer. Seu objetivo é roubar dados dessas organizações.
Do outro lado do espectro, o malware é disseminado indiscriminadamente por meio de sites de compartilhamento de arquivos P2P japoneses. O malware é enviado como parte de um grande arquivo comprimido RAR, que supostamente oferece conteúdo sexual, mas instala um cavalo de Troia backdoor que coleta dados confidenciais da vítima.
Em uma abordagem que reside entre esses dois pontos, as vítimas são executivos desavisados que viajam para fora do país e se hospedam em hotéis. Então, são infectados por um cavalo de Troia raro que se disfarça como uma de muitas versões de um software importante, como a Barra de ferramentas do Google, o Adobe Flash e o Windows Messenger. Os invasores usam esse primeiro estágio de infecção para qualificar suas vítimas e baixar outros programas de malware nos computadores das vítimas mais importantes, com o objetivo de roubar dados confidenciais.
Com base em uma cadeia de caracteres do código malicioso, parece que a ameaça vem de um agente coreano.
Mesmo com a sofisticação técnica de tantos ataques direcionados, eles geralmente começam induzindo funcionários a fazer algo que prejudica a segurança corporativa. Funcionários que lidam diretamente com o público (por exemplo, executivos seniores, representantes de vendas e marketing) são particularmente vulneráveis, pois costumam estar sempre em trânsito e usar redes não confiáveis (por exemplo, em hotéis) para se conectar com a rede corporativa.
Embora a prevenção total seja desafiadora, seguem algumas dicas de como se manter em segurança durante uma viagem.