A Kasperky publicou uma análise detalhada da actividade do grupo DeathStalker, um conjunto de cibercriminosos que usa ataques de ameaças persistentes avançadas (APT), e alerta que o mesmo ainda está activo e a causar danos às empresas, sobretudos as pequenas e médias empresas.
Os investigadores descobriram que o grupo «tem atacado empresas em todo o mundo, desde a Europa à América Latina e à Ásia, o que evidencia a importância da implementação de medidas de cibersegurança em organizações de menor dimensão».
Segundo a empresa de cibersegurança, os grupos hacker-for-hire são cada vez mais comuns e no caso do DeathStalker, este concentra-se principalmente na ciberespionagem contra escritórios de advogados e organizações do sector financeiro. «O agente de ameaças é altamente adaptável e notável por utilizar uma abordagem interativa de ritmo acelerado ao design de software, tornando-os capazes de executar campanhas eficazes».
As recentes investigações da Kaspersky ligaram a actividade do grupo, que actua pelo menos desde 2012, a três famílias de malware – Powersing, Evilnum e Janicab. Os ataques dependem de mensagens de correio electrónico de spear-phishing personalizadas para entregar ficheiros que contêm documentos maliciosos. Quando o utilizador clica no atalho, um script malicioso é executado e descarrega outros componentes que permitem que os atacantes ganhem controlo sobre o computador da vítima.
Ivan Kwiatkowski, investigador de segurança sénior do GReAT da Kaspersky, explica como funciona o grupo: «O DeathStalker é um excelente exemplo de um agente de ameaças contra o qual as organizações do sector privado precisam de se defender. Embora nos concentremos frequentemente nas actividades realizadas pelos grupos APT, o DeathStalker lembra-nos que as organizações que não são tradicionalmente as mais conscientes da importância da segurança também precisam de estar cientes que podem ser alvos. Além disso, a julgar pela actividade contínua, acreditamos que o DeathStalker continue a ser uma ameaça que utilizará novas ferramentas para ter impacto nas organizações. Este agente, de certa forma, é a prova de que as pequenas e médias empresas precisam de investir também na formação em segurança e sensibilização».
O responsável revela ainda como as PME se devem proteger: ««Para permanecer protegido do DeathStalker, aconselhamos as organizações a não utilizar linguagens de scripting, tais como powerhell.exe e cscript.exe, sempre que possível. Também recomendamos que a formação futura de sensibilização e avaliações de produtos de segurança incluam cadeias de infeção baseadas em ficheiros LNK (shortcut)».