Os investigadores da Kaspersky descobriram uma campanha de ciberespionagem em curso que visava, inicialmente, uma entidade governamental no Médio Oriente. Investigações adicionais revelaram mais de 30 amostras de malware dropper utilizadas nesta campanha, expandindo a sua acção para a região da APAC, Europa e América do Norte. Denominado DuneQuixote, incorpora trechos de poemas espanhóis nas suas cadeias de malware para aumentar a persistência e evitar a detecção, com o objectivo final de ciberespionagem.
Como parte da monitorização contínua de actividades maliciosas, os especialistas da Kaspersky descobriram uma campanha de ciberespionagem, em Fevereiro de 2024, que visava uma entidade governamental no Médio Oriente. Os atacantes espiavam secretamente esta entidade e recolhiam os dados sensíveis, através de um conjunto sofisticado de ferramentas concebidas para serem furtivas e persistentes.
Os droppers iniciais do malware disfarçam-se de ficheiros de instalação adulterados com origem numa ferramenta legítima denominada Total Commander. Nestes droppers, são incorporados versos de poemas espanhóis, com versos diferentes de uma amostra para outra. Esta variação tem o objectivo alterar a assinatura de cada amostra, tornando a detecção por metodologias tradicionais mais difícil.
Incorporado nos droppers está, também, um código malicioso concebido para descarregar cargas úteis adicionais sob a forma de uma backdoor denominada CR4T. As backdoors, desenvolvidas em C/C++ e GoLang, têm como objectivo conceder aos atacantes o acesso ao dispositivo da vítima.
«As variantes do malware mostram a adaptabilidade e engenho dos criminosos por trás desta campanha. De momento, descobrimos dois desses implantes, mas suspeitamos fortemente da existência de outros», destaca Sergey Lozhkin, investigador principal de segurança da Equipa Global de Investigação e Análise (GReAT) da Kaspersky.
A telemetria da Kaspersky identificou uma vítima no Médio Oriente em Fevereiro de 2024. Adicionalmente, inúmeros uploads do mesmo malware ocorreram no final de 2023, para um serviço semipúblico de verificação de malware, registando mais de 30 submissões. Outras fontes suspeitas de pontos de saída de VPN estão localizadas na Coreia do Sul, Luxemburgo, Japão, Canadá, Países Baixos e EUA.
Para saber mais sobre a nova campanha DuneQuixote, consulte o website Securelist.com.
Para evitar ser vítima de um ataque direccionado por um cibercriminosos conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:
- Forneça à equipa do seu centro de operações de segurança (SOC) o acesso à mais recente inteligência contra ameaças (TI). O Kaspersky Threat Intelligence Portal é um ponto de acesso único para as TI da empresa, fornecendo dados de ciberataques e conhecimentos recolhidos pela Kaspersky ao longo de mais de 20 anos.
- Capacite a sua equipa de cibersegurança para enfrentar as mais recentes ameaças direcionadas através do Kaspersky online training, desenvolvida por especialistas GReAT.
- Para deteção, investigação e correção atempada de incidentes nos endpoints, implemente soluções EDR como o Kaspersky Endpoint Detection and Response.
- Além de adotar a proteção essencial dos endpoints, implemente uma solução de segurança empresarial que detete ameaças avançadas, ao nível da rede, numa fase inicial, como a Kaspersky Anti Targeted Attack Platform.
- Uma vez que muitos ataques direcionados começam com um esquema de phishing ou outras técnicas de engenharia social, introduza a formação que se foque na sensibilização para a segurança e ensine as competências práticas à sua equipa – por exemplo, através da Kaspersky Automated Security Awareness Platform.
