Em junho de 2021, nossos especialistas descobriram um novo malware chamado PseudoManuscrypt. Os métodos do PseudoManuscrypt são relevativamente comuns quanto observa-se spywares. Ele funciona como um keylogger, reúne informações sobre conexões VPN estabelecidas e senhas salvas, rouba o conteúdo da área de transferência, grava sons usando o microfone embutido (se o computador tiver um) e captura imagens. Outra versão também pode roubar as credenciais dos mensageiros QQ e WeChat, capturar o vídeo da tela e ter uma função que tenta desabilitar as soluções de segurança. Em seguida, ele envia os dados para o servidor do invasor.
Para obter os detalhes técnicos do ataque e indicadores de comprometimento, consulte nosso relatório ICS CERT.
Origem do nome
Nossos especialistas encontraram algumas semelhanças entre o novo ataque e a já conhecida campanha Manuscrypt, mas a análise revelou que um ator completamente diferente, o grupo APT41, havia usado parte do código do malware em seus ataques. A responsabilidade pelo novo ataque ainda não foi atribuída e, por enquanto, o estamos chamando de PseudoManuscrypt.
Como o PseudoManuscrypt infecta um sistema
A infecção bem-sucedida depende de uma cadeia de eventos bastante complexa. O ataque a um computador geralmente começa quando o usuário baixa e executa um malware que imita o pacote de instalação pirata de um software popular.
Você pode encontrar a armadilha do PseudoManuscrypt pesquisando na Internet por um software pirata. Os sites que distribuem códigos maliciosos correspondentes a consultas populares têm uma classificação elevada nos resultados de mecanismos de pesquisa, uma métrica que os invasores parecem monitorar.
Aqui você pode ver claramente os motivos pelos quais tantas tentativas de infectar sistemas industriais foram detectadas. Além de fornecer malware que se faz passar por software popular (como aplicações de escritório, soluções de segurança, sistemas de navegação e 3D FPS), os invasores também oferecem pacotes de instalação falsos para softwares profissionais, incluindo certos utilitários para interagir com controladores lógicos programáveis ( PLC) usando o ModBus. Resultado: um número expressivamente alto de computadores com sistema de controle industrial (ICS) infectados (7,2% do total).
O exemplo na captura de tela acima apresenta um software para administradores de sistema e engenheiros de rede. Teoricamente, esse vetor de ataque poderia fornecer aos invasores acesso total à infraestrutura da empresa.
Os invasores também usam um mecanismo de entrega de Malware-as-a-Service (MaaS), pagando outros cibercriminosos para distribuir o PseudoManuscrypt. Essa prática deu origem a um recurso interessante que nossos especialistas encontraram ao analisar a plataforma MaaS: às vezes, o PseudoManuscrypt estava disfarçado com outro malware que a vítima instalou como um único pacote. O objetivo do PseudoManuscrypt é espionar, mas outros programas maliciosos buscam outros objetivos, como a criptografia de dados para extorsão de dinheiro.
Quem é o alvo do PseudoManuscrypt?
O maior número de detecções de PseudoManuscrypt ocorreu na Rússia, Índia, Brasil, Vietnã e Indonésia. Do grande número de tentativas de execução de código malicioso, os usuários em organizações industriais representam uma parcela significativa. As vítimas neste setor incluem gerentes de sistemas de automação predial, empresas de energia, fabricantes, empresas de construção e até mesmo prestadores de serviços para estações de tratamento de água. Além disso, um número excepcionalmente grande de computadores afetados estava envolvido em processos de engenharia e na produção de novos produtos em empresas industriais.
Métodos de defesa contra PseudoManuscrypt
Para proteção contra PseudoManuscrypt, você deve ter soluções de proteção confiáveis e regularmente atualizadas, e elas devem ser instaladas em 100% dos sistemas de uma empresa. Além disso, recomendamos instituir políticas que dificultam a proteção contra a desativação dessas soluções.
Para sistemas de TI na indústria, também oferecemos uma solução especializada, o Kaspersky Industrial CyberSecurity, que protege os computadores (incluindo os especializados) e monitora as transferências de dados que usam protocolos específicos.
Lembre-se também da importância de aumentar a conscientização do pessoal sobre os riscos à cibersegurança. Você não pode descartar totalmente a possibilidade de ataques de phishing inteligentes, mas pode ajudar a equipe a ficar alerta e também educá-la sobre o perigo de instalar software não autorizado (e especialmente pirateado) em computadores com acesso a sistemas industriais.