Nossos especialistas encontraram vestígios da atividade de um novo grupo de espionagem de empresas industriais. Os cibercriminosos realizam ataques direcionados usando uma ferramenta que chamamos de MontysThree e procuram documentos nos computadores das vítimas. O grupo parece estar ativo desde pelo menos 2018.
Como MontysThree infecta computadores?
Os cibercriminosos usam técnicas clássicas de spear-phishing para invadir os computadores das vítimas, enviando e-mails contendo arquivos executáveis que emulam documentos em formato .pdf ou .doc para funcionários de corporações industriais. Esses arquivos geralmente têm nomes como “Atualização de dados corporativos”, “Especificações técnicas”, “Lista de números de telefone do funcionário 2019” e semelhantes. Em alguns casos, os invasores tentam fazer com que os arquivos pareçam documentos médicos, com nomes como “Resultados de análises médicas” ou “Invitro-106650152-1.pdf” (Invitro é um dos laboratórios clínicos mais importantes da Rússia).
O que os cibercriminosos buscam?
O MontysThree procura documentos específicos nos formatos Microsoft Office e Adobe Acrobat localizados em vários diretórios e mídias conectados. Após a infecção, o malware rastreia um perfil do computador da vítima: ele envia a versão do sistema, uma lista de processos e prints da área de trabalho para o servidor de comando e controle, bem como uma lista de documentos abertos recentemente, junto com seus extensões .doc, .docx, .xls, .xlsx, .rtf, .pdf, .odt, .psw e .pwd nos diretórios USERPROFILE e APPDATA.
O que mais o MontysThree pode fazer?
Os desenvolvedores implementaram vários mecanismos um tanto incomuns em seu malware. Por exemplo, após a infecção, o módulo de download extrai e descriptografa o módulo principal, que é criptografado em uma imagem usando estenografia . Nossos especialistas acreditam que os invasores escreveram o algoritmo de esteganografia do zero; ou seja, eles não o copiaram de amostras de código aberto, como costuma ser o caso.
O malware se comunica com o servidor de comando e controle usando serviços de nuvem pública, como Google, Microsoft e Dropbox, bem como WebDAV. Além disso, o módulo de comunicação pode enviar solicitações usando RDP e Citrix. Para piorar as coisas, os criadores do malware não inseriram nenhum protocolo de comunicação em seu código; em vez disso, MontyThree usa programas legítimos (RDP, clientes Citrix e Internet Explorer).
Para manter o malware no sistema da vítima pelo maior tempo possível, um módulo auxiliar modifica os atalhos no painel de inicialização rápida do Windows, para que quando o usuário inicie um atalho (por exemplo, para abrir o navegador ), o módulo carregador MontyThree é executado ao mesmo tempo.
Quem são os responsáveis pelo ataque?
Nossos especialistas não veem sinais de vinculação dos criadores do MontysThree a ataques recentes. Este parece ser um grupo inteiramente novo de cibercriminosos e, a julgar por vários trechos do código, o russo é a língua materna dos autores. Além disso, provavelmente seu principal alvo serão as empresas que também têm o russo como idioma; alguns dos diretórios pesquisados pelo malware existem na versão cirílica do sistema. Embora nossos especialistas também tenham encontrado informações de contas de serviços de comunicação que sugerem uma origem na China, elas parecem iscas falsas destinadas a esconder os rastros dos invasores.
Nesta postagem da Securelist, você encontrará uma descrição técnica detalhada do MontysThree, junto com indicadores de comprometimento.
Como agir?
Primeiro, reforce a comunicação interna, com seus funcionários, que os ataques direcionados geralmente começam com e-mail, então eles devem ser extremamente cautelosos ao abrir arquivos, especialmente aqueles que não estão esperando. Para garantir que eles entendam a necessidade desse alerta, recomendamos que você não apenas mencione os perigos de tal comportamento, mas também desenvolva suas habilidades para combater ciberameaças atuais usando o Kaspersky Automated Security Awareness Platform.
Além disso, para se proteger contra ataques direcionados sofisticados, opte por uma solução de segurança integrada que combina proteção de endpoint, funcionalidade de EDR e ferramentas adicionais para analisar e impedir ataques.