DEFINIÇÃO DO VÍRUS
Tipo de vírus: malware/ameaça persistente avançada (APT)
O que é?
Crouching Yeti é uma ameaça envolvida em diversas campanhas de ameaças persistentes avançadas (APTs) que está ativa pelo menos desde o final de 2010.
Os principais setores atingidos por essa ameaça incluem:
- Industrial/maquinário
- Manufatura
- Farmacêutico
- Construção
- Educação
- Tecnologia da informação
Após uma pesquisa detalhada, determinou-se que a maior quantidade de vítimas identificadas se enquadrava no setor industrial/maquinários de construção, um bom indício de que esse é um setor de interesse específico.
A ameaça Crouching Yeti usava três métodos para infectar as vítimas, e-mails de phishing que usam documentos em PDF incorporados com uma exploit do Adobe Flash (CVE-2011-0611)
- Instaladores do software Trojanized
- Ataques de watering hole que usam diversas exploits reutilizadas
Detalhes da ameaça
O Crouching Yeti é uma campanha pouco sofisticada. Por exemplo, os invasores não usavam exploits de "dia zero", somente exploits amplamente disponíveis na Internet. Mas isso não evitou que a campanha ficasse sob os radares por anos.
O total de vítimas conhecidas excede 2.800 no mundo todo, dentre as quais os pesquisadores da Kaspersky Lab conseguiram identificar 101 organizações. Essa lista de vítimas parece indicar o interesse do Crouching Yeti em alvos estratégicos, mas também demonstra o interesse do grupo em muitas outras instituições não tão óbvias.
Os especialistas da Kaspersky Lab acreditam que haja outras vítimas, mas também é cabível redefinir o Crouching Yeti não só como uma campanha altamente direcionada a uma área muito específica, mas também como uma ampla campanha de vigilância, com interesse em diferentes setores.
Como saber se fui infectado pelo Crouching Yeti?
A melhor maneira de determinar se você foi vítima do Crouching Yeti é identificar se houve invasão. A identificação de ameaças pode ser feita por um produto antivírus eficiente, como o Kaspersky Anti-Virus.
Os produtos da Kaspersky Lab detectam o malware envolvido na campanha Crouching Yeti com as seguintes definições:
- Trojan.Win32.Sysmain.xxx
- Trojan.Win32.Havex.xxx
- Trojan.Win32.ddex.xxx
- Backdoor.MSIL.ClientX.xxx
- Trojan.Win32.Karagany.xxx
- Trojan-Spy.Win32.HavexOPC.xxx
- Trojan-Spy.Win32.HavexNk2.xxx
- Trojan-Dropper.Win32.HavexDrop.xxx
- Trojan-Spy.Win32.HavexNetscan.xxx
- Trojan-Spy.Win32.HavexSysinfo.xxx
Como posso me proteger do Crouching Yeti?
- Mantenha todos os programas de software atualizados. Nenhuma das exploits usadas pelas ameaças Crouching Yeti envolveu ataques de "dia zero", ou seja, a maioria das infecções podia ter sido evitada com o uso de um software de terceiros atualizado.
- Instale e mantenha sua solução de segurança atualizada para evitar infecções por vírus.
- O treinamento é uma parte importante da segurança, principalmente com relação a e-mails de phishing.
