As soluções antivírus da Kaspersky Lab detectaram milhares de ataques de vírus nos computadores dos usuários. Um total de 114.984.065 de objetos mal-intencionados e potencialmente indesejados foram identificados nestes incidentes. Além disso, no Q2 2014, 927.568 computadores com produtos da Kaspersky Lab foram atacados por malware bancário; houve o recebimento de um total de 3.455.530 notificações sobre tentativas de infectar os computadores com malware financeiro.
Overview
Os Ataques Direcionados e Campanhas de Malware
"Somebody poisoning the water-hole"
Em abril, foi detectada a existência de uma nova vulnerabilidade zero-day no Flash Player, que ao que tudo indica, foi usada em ataques water-hole a partir de um web site sírio comprometido. O site (http://jpic.gov.sy), lançado em 2011 pelo Ministério da Justiça sírio, foi projetado para permitir que os cidadãos registrem suas queixas sobre violações. Dessa forma, tudo indica que esse ataque foi desenvolvido para atingir os dissidentes sírios que estavam reclamando do governo.
Foram analisados dois novos exploits SWF (ambos detectados de forma proativa por produtos da Kaspersky Lab) em meados de abril que não usou qualquer vulnerabilidade que nós já conhecíamos - a vulnerabilidade foi mais tarde confirmado pela Adobe como um novo dia zero (CVE-2014- 0515). Este foi localizado no componente Pixel Bender (não é suportado pelo Adobe) usado para vídeo e processamento de imagem. Enquanto a primeira exploração é bastante normal e foi capaz de infectar praticamente qualquer computador desprotegido, o segundo só funciona em computadores onde o Adobe Flash Player 12 ActiveX e Cisco MeetingPlace Express suplementos são instalados.
Novo Exploit 0-Day
Foram analisados dois novos exploits SWF (ambos detectados de forma proativa por produtos da Kaspersky Lab), em meados de abril, que não tiraram proveito de qualquer vulnerabilidade que nós já conhecíamos - a vulnerabilidade foi mais tarde confirmada pela Adobe como uma nova falha 0-day (CVE-2014- 0515). Esta foi localizada no componente Pixel Bender (que não é suportado pelo Adobe), usado para vídeo e processamento de imagem. Enquanto o primeiro exploit é bastante normal e foi capaz de infectar praticamente qualquer computador desprotegido, o segundo só funciona em computadores onde o Adobe Flash Player 12 ActiveX e Cisco MeetingPlace Express são instalados.
Os desenvolvedores do exploit estavam contando que os desenvolvedores não encontrassem nenhuma vulnerabilidade no componente, na esperança de que a façanha permaneceria ativa por mais tempo. Isto sugere que os atacantes não conseguiram atingir vítimas em massa. Entretanto, parece provável que as vítimas foram redirecionados para os exploits através de um iframe ou um script no site comprometido. Quando foi publicado no blog da Kaspersky a detecção e identificação desta mais nova falha 0-day, tinham sido encontradas mais de 30 detecções nos computadores de sete pessoas diferentes - todos eles localizados na Síria.
Dessa forma, os pesquisadores acreditam que este ataque foi cuidadosamente planejado por atacantes de alto calibre, que possuem bastante experiência, como foi evidenciado pelo uso de exploits zero-day profissionalmente desenvolvidos e usados para comprometer um único recurso.
Ataques a Clientes de Banco Europeu
No mês de junho desse ano, informamos sobre uma pesquisa voltada para um ataque contra os clientes de um grande banco europeu, que resultou no roubo de meio milhão de euros em apenas uma semana. Dessa forma, a equipe de segurança da Kaspersky descobriu os primeiros sinais da campanha em janeiro, a partir de um servidor suspeito contendo registros relativos às operações de fraude financeira - incluindo detalhes sobre as vítimas e somas de dinheiro que haviam sido roubadas.
Uma análise posterior revelou mais informações sobre a situação, mostrando o banco alvo da investida, o sistema monetário usado, detalhes operacionais do ataque e JavaScript relacionados à parte - servidores de comando e controle (C2) da campanha. Assim, tornou-se evidente que esta era a parte do lado do servidor de uma infra-estrutura de trojan bancário. Os pesquisadores chamaram de C2 'luuuk' depois do path no painel de administração utilizado no servidor - '/ server/adm/luuuk'.
Trojan Bancário e Ataques do Tipo "Man-in-the-Browser"
A campanha é segmentada a clientes de um único banco. Embora não tenham sido capazes de obter o malware usado para infectar as vítimas, os pesquisadores da Kaspersky Lab acreditam que os criminosos usaram um Trojan bancário, que apresentou operações do tipo "Man-in-the-Browser" para roubar credenciais das vítimas por meio de uma injeção Web maliciosa. Com base nas informações disponíveis em alguns dos arquivos de log, o malware rouba nomes de usuário, senhas e códigos de acesso de uma só vez (OTP) em tempo real.
Spam e Drive by Downloads para Infectar Computadores
Essas injeções são comuns em todas as variantes do Zeus (Citadel, SpyEye, IceIX, etc). Além disso, a equipe de researchers da Kapersky não foi capaz de identificar o vetor de infecção. Porém, os trojans bancários usam uma variedade de métodos para infectar vítimas, incluindo spam e drive-by downloads. Na sequência da publicação da postagem publicada, os pesquisadores da Fox-IT Intell enviou informações potencialmente relacionadas a esta campanha. Estes dados indicam que o servidor "Luuuk" poderia estar relacionado com o ZeusP2P (aka Murofet), como já havia sido levantada a suspeita. Entretanto, não houve prova definitiva desta vez, de que o código injetado não pôde ser encontrado no servidor quando foi realizada a análise da empresa.
Os atacantes utilizaram credenciais roubadas para verificar o saldo da conta da vítima e realizar transações maliciosas de forma automática, provavelmente operando no cenário de uma sessão bancária legítima. Isto é consistente com um dos artefatos maliciosos (um servidor VNC), que foram encontrados vinculados ao servidor malicioso usado pelos atacantes. O dinheiro roubado, foi então transferido automaticamente para contas de "laranjas". A classificação desses laranjas usada pelos atacantes foi muito interessante: havia quatro grupos diferentes, cada um definido pela quantidade de dinheiro que esses indivíduos pré-definidos poderiam aceitar - como se fosse, provavelmente, um reflexo do nível de confiança entre eles.
Em face de tudo isso, foram identificadas 190 vítimas no total, a maioria delas localizadas na Itália e na Turquia. As quantias roubadas de cada vítima foi de € 1.700 a € 39,000, e ascendeu a € 500.000.
Mudança de Infra-estruturas para Escapar dos Processos de Detecção e Identificação
Os atacantes removeram todos os componentes sensíveis no dia 22 de janeiro deste ano, dois dias depois da investigação dos pesquisadores da Kaspersky ter começado. Com base na atividade de transações, tudo indica que isto representa uma mudança de infra-estruturas, ao invés de um encerramento completo da operação. Portanto, a análise de ataque indica que os cybercriminosos por trás da campanha, são elementos altamente profissionais e muito ativos. Eles também têm demonstrado atividades pró-ativas de segurança operacional, mudando de tática e fazendo a remoção de vestígios de suas atividades, quando estas são descobertas.
Quando houve a descoberta do servidor C2, foi relatado o caso ao banco em questão e aos organismos de aplicação da lei. Sendo assim, a equipe da Kaspersky manteve contato com essas agências e continuou a investigar o ataque.
No mês de junho desse ano, foram publicados os resultados da mais recente pesquisa da Kaspersky sobre o software "legal" chamado Sistema de Controle Remoto (RCS), desenvolvido pela empresa italiana HackingTeam. Não é a primeira vez que a equipe manteve o foco em software dessa empresa. No entanto, tem havido uma evolução significativa desde artigo anterior sobre RCS. Primeiro, foi possível descobrir um recurso que pode ser usado para a impressão digital e controle de comando de servidores (C2). Quando uma requisição especial é enviada para um servidor RCS, ele responde com a seguinte mensagem de erro:
Nesse coontexto, o Team Kaspersky foi capaz de utilizar esse método para fazer um scanning em todo o espaço IPv4, o que permitiu encontrar todos os endereços IP dos servidores RCS C2 em todo o mundo. A partir daí, foram encontrados 326 no total, sendo a maioria deles localizados em os Estados Unidos, Cazaquistão e Equador. Além disso, vários IPs foram identificados como relacionados ao governo, com base em suas informações de "WHOIS". Claro, não podemos ter certeza de que os servidores localizados em um determinado país estão sendo usados por agências de aplicação da lei no país, mas isso faria sentido: afinal, evitaria problemas jurídicos que ultrapassariam fronteiras, e evitaria ainda o risco de servidores que estão sendo apreendidos por outros.
Saiba Mais:
[1] Secure List http://securelist.com/analysis/quart...ution-q2-2014/