No final de 2019, nossos especialistas usaram a técnica do watering hole para descobrir um ataque direcionado. Sem implantar truques sofisticados ou explorar vulnerabilidades, os invasores infectaram os dispositivos de usuários na Ásia por um período de pelo menos oito meses. Com base no assunto dos sites usados para espalhar o malware, a ameaça foi batizada como Holy Water (ou Água Benta, na tradução livre). Este é o segundo ataque que descobrimos em vários meses a usar essas táticas (veja aqui a outra descoberta de nossos pesquisadores).
Como o Holy Water infecta o dispositivo do usuário?
Parece que em algum momento os invasores comprometeram um servidor que hospedava sites e portais pertencentes principalmente a figuras religiosas, organizações públicas e instituições de caridade. Os cibercriminosos incorporaram scripts mal-intencionados no código dessas páginas, que foram usadas para realizar os ataques.
Quando os usuários visitavam uma página infectada, os scripts usavam ferramentas perfeitamente legítimas para coletar dados sobre eles e encaminhá-los para um servidor de terceiros para validação. Não sabemos como as vítimas foram selecionadas, mas em resposta às informações recebidas, se o alvo fosse promissor, o servidor enviava um comando para continuar o ataque.
A próxima etapa envolveu um truque que se tornou padrão (em uso por mais de uma década): o usuário recebe uma solicitação para atualizar o Adobe Flash Player, que estava na versão defasada e com problemas de segurança. Se a vítima consentir, em vez da atualização prometida, a backdoor Godlike12 era baixada e instalada no computador.
O perigo do Godlike12
Os mentores do ataque fizeram uso ativo de serviços legítimos, tanto para criar perfil de vítimas quanto para armazenar o código malicioso (a backdoor foi citada no GitHub). Ele se comunicava com os servidores da C&C pelo Google Drive.
A backdoor colocava um identificador no armazenamento do Google Drive e fazia chamadas regulares para verificar os comandos dos invasores. Os resultados da execução de tais comandos também foram enviados para lá. De acordo com nossos especialistas, o objetivo do ataque era o reconhecimento e a coleta de informações de dispositivos comprometidos.
Para os interessados nos detalhes técnicos e nas ferramentas empregadas, consulte a publicação da Securelist sobre o Holy Water, que também lista os indicadores de comprometimento.
Como se proteger dos perigos da água benta
Até agora, vimos o Holy Water apenas na Ásia. No entanto, as ferramentas usadas na campanha são bastante simples e podem ser implantadas em outros lugares facilmente. Portanto, recomendamos que todos os usuários levem essas recomendações a sério, independentemente de onde vivem.
Não podemos dizer se o ataque é direcionado contra certos indivíduos ou organizações. Mas uma coisa é certa: qualquer pessoa pode visitar os sites infectados a partir de dispositivos domésticos e corporativos. Portanto, nosso conselho principal é proteger qualquer dispositivo com acesso à internet. Nós oferecemos opções de segurança tanto para computadores quanto para corporativos. Nossos produtos detectam e bloqueiam todas as ferramentas e técnicas usadas pelos criadores de Holy Water.