20/06/2023 às 22h11min - Atualizada em 21/06/2023 às 00h00min
Check Point Software alerta para um novo backdoor utilizado em ataques de espionagem
Os especialistas identificaram um backdoor utilizado para ataques de espionagem direcionados na Líbia; esse backdoor, denominado "Stealth Soldier", pode executar exfiltração de arquivos, gravação de telas, registo de teclado e roubo de informações do navegador
SALA DA NOTÍCIA / Check Point Software
https://www.checkpoint.com/pt/
Imagem ilustrativa - Divulgação Check Point Software No primeiro trimestre de 2023, a região da África registrou o maior número médio de ciberataques, com uma a cada 15 organizações sendo atacada em média 1.983 vezes por semana. Agora, os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, identificaram uma operação em andamento contra alvos no norte de África envolvendo um backdoor de vários estágios anteriormente não revelado chamado "Stealth Soldier".
A rede de Comando e Controle (C&C) de malware faz parte de um conjunto maior de infraestrutura que é usado pelo menos em parte para campanhas de spear-phishing contra órgãos governamentais. Com base no que os pesquisadores observaram nos temas do site de phishing e nos envios do VirusTotal, a campanha parece ter como alvo organizações da Líbia.
Nesta nova análise, a equipe da CPR aborda as diferentes técnicas e ferramentas utilizadas nessa operação e sua infraestrutura. Os pesquisadores também fornecem análises técnicas das diferentes versões do “Stealth Soldier” e mostram semelhanças entre esta operação e outra denominada “Eye on the Nile”. A “Eye on the Nile” foi uma campanha de ataque anterior visando a região, que a Anistia Internacional e a Check Point Research vincularam a órgãos apoiados pelo governo.
A investigação da CPR começou depois que os pesquisadores encontraram vários arquivos enviados ao VirusTotal da Líbia entre os meses de novembro de 2022 a janeiro de 2023. Os nomes dos arquivos estavam em árabe. A análise dos arquivos revela que todos eles são downloaders de diferentes versões do mesmo malware, chamado internamente de “Stealth Soldier”.
O “Stealth Soldier” é um implante personalizado, provavelmente usado em um conjunto limitado de ataques direcionados. O implante permite operações de vigilância e oferece suporte a funcionalidades como registro de pressionamento de teclas, capturas de tela e gravações de microfone. As diferentes versões encontradas sugerem que o “Stealth Soldier” é mantido ativo desde janeiro de 2023.
Durante a análise da CPR, os pesquisadores encontraram algumas sobreposições na infraestrutura utilizada nesta operação com outra campanha, o “Eye-On-The-Nile”, que visa alvos na região do norte de África.
O relatório de 2019 da Anistia Internacional descreve como organizações civis egípcias e indivíduos foram alvo de sofisticados ataques de phishing usando aplicativos de terceiros, como Google e Yahoo, para roubar informações confidenciais e monitorar suas atividades. Em um relatório de acompanhamento do “Eye on the Nile”, a CPR descobriu os antecedentes dessa operação, rastreou sua origem e a conectou a um backdoor Android focado em vigilância. Ao longo da análise das campanhas do “Stealth Soldier”, a CPR foi capaz de identificar várias sobreposições de infraestrutura com as do “Eye on the Nile”.
A solução Check Point Threat Emulation provê cobertura abrangente de táticas de ataque, tipos de arquivo e sistemas operacionais, e desenvolveu e implementou uma assinatura para detectar e proteger os clientes contra a ameaça descrita acima.
Imagem ilustrativa - Divulgação Check Point Software
