Malware usado no ataque é a versão mais recente do FinSpy
O sistema avançado de prevenção de vulnerabilidades da Kaspersky Lab identificou um novo exploit do Adobe Flash Player, usado em um ataque em 10 de outubro por um agente de ameaça conhecido como BlackOasis. O exploit é usado em ataques usando um documento do Microsoft Word e instala o malware comercial FinSpy. A Kaspersky Lab reportou a vulnerabilidade à Adobe, que publicou um aviso a respeito.
De acordo com os pesquisadores da Kaspersky Lab, o zero day (dia zero, na tradução literal para português), CVE-2017-11292, foi detectado em um ataque “in-the-wild”. Para evitar essa ameaça, os pesquisadores aconselham empresas e organizações governamentais a instalar a atualização da Adobe imediatamente.
Os pesquisadores acreditam que o grupo atrás do ataque também foi responsável pelo CVE-2017-8759, outro dia zero, relatado em setembro - e eles estão confiantes de que o ator ameaça envolvido é o BlackOasis, que a Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky Lab começou a rastrear em 2016.
A análise revela que, após a exploração bem-sucedida da vulnerabilidade, o malware FinSpy (também conhecido como FinFisher) está instalado no computador alvo. O FinSpy é um malware comercial, normalmente vendido para estados nacionais e agências de aplicação da lei para realizar vigilância. No passado, o uso do malware era principalmente doméstico, com as agências de aplicação da lei implantando-o para vigilância em alvos locais. BlackOasis é uma exceção significativa para isso – usando-o contra uma ampla gama de alvos em todo o mundo. Isso parece sugerir que o FinSpy agora está alimentando operações de inteligência global, com um país usando isso contra outro. Empresas que desenvolvem software de vigilância como o FinSpy tornam possível essa corrida de armas.
O malware usado no ataque é a versão mais recente do FinSpy, equipado com múltiplas técnicas de analise para tornar a análise forense mais difícil.
Após a instalação, o malware estabelece um ponto de apoio no computador atacado e se conecta aos seus servidores de comando e controle localizados na Suíça, Bulgária e Holanda, para receber mais instruções e exfiltrar os dados da vítima.
Com base na avaliação da Kaspersky Lab, os interesses da BlackOasis abrangem toda uma gama de figuras envolvidas na política do Oriente Médio, incluindo figuras proeminentes nas Nações Unidas, blogueiros e ativistas da oposição, além de correspondentes de notícias regionais. Eles também parecem interessados em verticais de particular relevância para a região. Em 2016, os pesquisadores da empresa observaram um grande interesse em Angola, exemplificado por documentos maliciosos usados como iscas,indicando alvos com supostos laços com o petróleo, lavagem de dinheiro e outras atividades. Existe também interesse em ativistas internacionais e grupos de pesquisa.
Até agora, as vítimas de BlackOasis foram observadas nos seguintes países: Rússia, Iraque, Afeganistão, Nigéria, Líbia, Jordânia, Tunísia, Arábia Saudita, Irã, Holanda, Bahrein, Reino Unido e Angola.
"É a terceira vez que vimos este ano a distribuição do FinSpy através de explorações para vulnerabilidades, utilizando o recém-descoberto exploit dia zero. Anteriormente, os agentes que implementavam este malware abusavam de problemas críticos nos produtos Microsoft Word e Adobe. Acreditamos que o número de ataques que dependem do software FinSpy, suportado por explorações de dia zero, como o descrito aqui, continuará a crescer", disse Anton Ivanov, Analista Líder de Malware da Kaspersky Lab.
As soluções de segurança da Kaspersky Lab detectam e bloqueiam os exploits utilizando a vulnerabilidade recém-descoberta.
Os especialistas da Kaspersky Lab aconselham as organizações a tomarem as seguintes medidas para proteger seus sistemas e dados contra essa ameaça:
- Se ainda não está implementado, use o recurso killbit do Flash Player e, sempre que possível, desative-o completamente.
- Implemente uma solução de segurança avançada e multicamadas que abranja todas as redes, sistemas e pontos finais.
- Eduque e treine seu pessoal em táticas de engenharia social, pois esse método é frequentemente usado para fazer uma vítima abrir um documento malicioso ou clicar em um link infectado.
- Realize avaliações de segurança regulares da infraestrutura de TI da organização.
- Use o Kaspersky Lab Threat Intelligence que rastreia ataques cibernéticos, incidentes ou ameaças e fornece aos clientes informações relevantes atualizadas que desconhecem. Saiba mais em intelreports@kaspersky.com.
Para detalhes mais técnicos, incluindo indicadores de compromisso e regras YARA, leia o post do blog em Securelist.com.