• Campanhas de Ataques Usando Trojan Sykipot

    Publicado em 28-01-2012 16:30
    0 Comentários Comentários
    O grupo responsável pelas campanhas massivas e consistentes, direcionadas a empreiteiros de defesa dos Estados Unidos utilizando o Trojan Sykipot, continuam seus ataques de maneira incessante, de acordo com os relatórios emitidos pela especialista em segurança Symantec. Seus pesquisadores descobriram (faz alguns dias), e conseguiram visualizar um servidor de testes para essas campanhas, que também foi utilizado ocasionalmente como um servidor C & C para a entrega de instruções para o malware instalado nos computadores comprometidos.

    Houve ainda a descoberta de muitas coisas que lhes deu uma importante visão, sobre como as campanhas são diferenciadas e como esta guerra está sendo travada. "Cada campanha é marcada com um identificador único, composto de algumas letras seguido de uma data hard-coded dentro do Trojan Sykipot." Em alguns casos, a palavra-chave que precede o número, é o nome do domínio da sub-pasta que consta no servidor Web que está sendo utilizado. Os referidos marcadores, permitem que os atacantes envolvidos nessa campanha possam correlacionar diferentes ataques em diferentes organizações e indústrias.

    Com o servidor localizado em Beijing, os elementos entram em contato com ele (na província de Zhejiang) e palavras chinesas contidas no cenário e alguns nomes de arquivos, parecem validar a teoria de que crackers chineses estariam por trás dos ataques. Nesse contexto, os pesquisadores descobriram mais de cem arquivos maliciosos, enviados como anexos para as metas que os cibercriminosos pretendem atingir. Eles eram em sua maioria, arquivos em PDF especialmente criados, que liberavam o trojan para o sistema alvo, uma vez que esses arquivos fossem executados.


    Ferramentas de Modificação de Arquivos e Ataques à Vários Setores

    Além das descobertas anteriores e de tudo que puderam visualizar, os pesquisadores apontam que esses arquivos foram criados em outros lugares, e copiados para o sistema (a partir de drives removíveis, via FTP ou através de clientes de mensagens instantâneas), mas foram incapazes de localizar qualquer um dos indivíduos que estivessem por trás disso, ou mesmo os computadores que eles usavam para a prática dessas ações.

    Através deste servidor, eles conseguiram também dar uma olhada em outro computador que pertence aos atacantes, no qual eles descobriram uma ferramenta que modificou os arquivos enviados, para que os mesmos pudessem escapar de qualquer detecção.

    De acordo com as declarações dos pesquisadores, estes cibercriminosos que manipulam o Sykipot, possuem um histórico bastante extenso em relação a execução de ataques contra vários setores. Através das descobertas realizadas, os atacantes estão familiarizados com o idioma chinês, e estão usando os recursos do computador na China. Eles constituem, claramente, um grupo de crackers que estão constantemente modificando a sua criação, utilizando novas vulnerabilidades e técnicas para escapar das varreduras feitas pelos produtos de segurança. Pelo visto, eles vão continuar "trabalhando" com esta onda de ataques e sofisticá-los cada vez mais.


    Saiba Mais:

    [1] Trojan Sykipot Operation http://www.symantec.com/connect/blog...t-operations-0
    + Enviar Comentário