Roubo de Informações Através de Download de Malware e Propagação de Mensagens via Mídias Sociais
Seus alvos são empresas de defesa com base nos EUA, bem como os cidadãos iranianos que possam estar usando ferramentas anti-censura na Internet, de forma deliberada. O seu principal objetivo é fazer com que seus alvos façam download de malware que rouba informações, e eles fazem isso através do envio de e-mails de phishing e mensagens privadas, que são enviadas através das mídias sociais para atrair alvos para páginas especialmente criadas, a partir do qual o malware - que aparece como uma amostra legítima e útil de software - é então baixado.
Funcionalidades do Ardiloso Malware "Stealer"
O malware - apelidado por eles de "Stealer" - tem vários componentes, e reúne informações do sistema, tira screenshots, registra as teclas digitadas, credenciais, favoritos e histórico de grandes navegadores, coleta informações sobre a conta de e-mail de suas vítimas e muito mais. Eles também estão atrás de credenciais de segurança, de modo que muitas vezes eles criam falsas páginas de login VPN, páginas de login do Outlook Web Access, e assim por diante.
Ajax Security Team e Expansão das Capacidades de Cyber-ataques
"Os objetivos deste grupo são consistentes com os esforços do Irã, em controlar a dissidência política e continuar expandindo as capacidades cibernéticas ofensivas, mas acreditamos que os membros do grupo também pode estar ligados ao cybercrime tradicional", disseram os pesquisadores. "As capacidades da equipe de segurança Ajax permanecem obscuras. Este grupo usa pelo menos uma família de malware, que não está disponível publicamente. Nós não observamos diretamente se o Ajax Security Team utiliza exploits para entregar malware, mas não está claro se eles ou outros atacantes iranianos são capazes de produzir ou adquirir o código de exploração".
Em maio de 2012, um grupo de pesquisadores da Trend Micro descobriu algumas URLs suspeitas, que sugeriam que um arquivo malicioso chamado ChromeSetup.exe estaria hospedado em domínios como Facebook e Google. A descoberta, que foi capaz de ser realizada durante a análise dos dados processados pelo Trend Micro Smart Protection Network definitivamente chamou a atenção dos profissionais.
Proliferação de Malware Bancário
Olhando para os dados da Smart Protection Network, o grupo da Trend Micro foi capaz de encontrar 3 arquivos binários diferentes, que parecem ter sido baixados a partir dos seguintes URLs:
- hxxp :/ / br.msn.com / ChromeSetup.exe
- hxxp :/ / www.facebook.com.br / ChromeSetup.exe
- hxxp :/ / www.facebook.com / ChromeSetup.exe
- hxxp :/ / www.globo.com.br / ChromeSetup.exe
- hxxp :/ / www.google.com.br / ChromeSetup.exe
- hxxp :/ / www.terra.com.br / ChromeSetup.exe
Quando os pesquisadores foram olhar mais detalhadamente as transferências, eles identificaram que todos os downloads estavam sendo redirecionados para dois IPs diferentes, ao invés dos IPs legítimos dos domínios acessados. O que foi mais notável nisso tudo, foi o fato de que os acessos que prevaleciam eram voltados a clientes da região da América Latina, principalmente nos países Brasil e Peru.
Sistemas Infectados com TSPY_BANKER.EUIQ
Na sequência, uma análise dos arquivos ChromeSetup.exe feita pelos pesquisadores Roddell Santos e Roland Dela Paz, verificou que ele é um malware bancário que possui vários componentes, detectado como TSPY_BANKER.EUIQ. Uma vez em execução em um sistema, TSPY_BANKER.EUIQ envia informações como o endereço IP do sistema infectado e nome do sistema operacional para um endereço IP específico. Ele também fazia download de um arquivos de configuração, que contém informações utilizadas para redirecionar o acesso a páginas bancárias falsas sempre que um usuário tentasse visitar determinados sites bancários.
Quando um usuário abrisse o site de um banco alvo, o malware TSPY_BANKER.EUIQ interceptaria a solicitação de página e exibiria a uma mensagem, enganando os usuários e os fazendo pensar que o site estivesse carregando o software de segurança, onde na verdade, ele já estaria redirecionando os usuários para o site bancário falso.
Histórico de Ataques Provenientes de Cybercriminosos Iranianos
Em uma quinta-feira de 2011, o Comodohacker assustou o Google e fez a empresa emitir um alerta a todos os usuários do Gmail no Irã, para que modificassem suas senhas, pois ela poderia ter sido roubada. Mas, o que o Comodohacker queria com isso? Ele queria que o Irã tomasse o controle da Internet. Além do susto e do alarde gerado, ele conseguiu certificados de segurança da empresa holandesa DigiNotar – basicamente, RGs digitais que informam ao seu computador que uma página é legítima. Com esses certificados falsos, há a possibilidade de entrar no meio de uma conexão criptografada entre seu computador e o Google.
O jovem, que desde o início afirmou agir sozinho sustentando suas total independência em relação aos ataques, infiltrou-se nos sistemas de computadores de uma empresa de segurança na periferia de Amsterdã. Ele criou credenciais falsas que poderiam permitir que alguém pudesse espionar ligações à Internet que pareciam ser seguras.
Com essa prática, Comodohacker conseguiu invadir 300.000 contas iranianas do Gmail. O Google emitiu um alerta, pedindo para que os usuários no Irã mudassem suas senhas, e suspendeu todos os certificados da DigiNotar. A Mozilla e a Microsoft fizeram o mesmo para os seus browsers Firefox e IE. Na sequência dos fatos, o New York Times entrou em contato com o Comodohacker, que disse ser um estudante iraniano de 21 anos, e perguntou a ele quais os motivos que existiam por trás da grande quebra de segurança do Gmail. Ele não fez isso pelo simplesmente Lulz. Não, ele fez pelo aiatolá Ali Khamenei, Líder Supremo do Irã.
Comodohacker e Ataques ao Governo
Mesmo que o Comodohacker se vangloriasse de suas capacidades de hacking como qualquer outro da sua estirpe, o jovem se alinhava a um regime opressor do Irã, onde o polêmico Mahmoud Ahmadinejad era presidente. Isso é o contrário de todo o cenário de anarquia proposto por alguns grupos: para eles, os governos eram algo a se atacar e expor, para que assumissem a responsabilidade de tudo o que fizessem. Comodohacker, por outro lado, era um grande defensor do patriotismo: o governo dele é o correto, e merece a Internet.
E mesmo que o jovem não tenha um grande reconhecimento pelo público, o Comodohacker com certeza é muito bom no que faz. Afinal de contas, foram 300.000 contas invadidas em país que tem cerca de 75.000.000 pessoas, em um ataque confirmado pelo próprio Google. O jovem "ComodoHacker" também falou sobre os meios de comunicação ocidentais, em particular – por rapidamente concluírem que o governo iraniano estava envolvido, quando minimizou as possíveis ligações dos EUA e de Israel ao desenvolvimento do worm Stuxnet, que a maioria dos especialistas acreditavam visar o programa nuclear iraniano.
Além de tudo, o jovem ameaçou também usar as suas capacidades contra aqueles que declaram ser inimigos do Irã. "Qualquer pessoa com problemas no Irã, desde falsos movimentos pacíficos até os membros do MKO e terroristas, deveriam temê-lo pessoalmente, disse ComodoHacker, ao mostra-se disposto a tudo em nome de um nacionalismo exacerbado.
Saiba Mais:
[1] Net Security http://www.net-security.org/secworld.php?id=16852
[2] The New York Times http://www.nytimes.com/2011/09/12/te...cles.html?_r=0