DEFINIÇÃO DO VÍRUS
Tipo de vírus: malware, ameaça persistente avançada (APT)
O que é a ameaça Darkhotel?
O mais recente ataque de vírus, "Darkhotel", passou pela análise da Equipe de Pesquisa e Análise Global da Kaspersky Lab. A ameaça Darkhotel parece ser uma combinação de phishing e um malware perigoso, criada para capturar dados confidenciais.
Os criminosos virtuais por trás do Darkhotel operam há quase uma década, tendo atingido milhares de vítimas no mundo todo. 90% das infecções do Darkhotel foram encontradas no Japão, Taiwan, China, Rússia e Coreia, mas também houve ataques na Alemanha, EUA, Indonésia, Índia e Irlanda
Detalhes da ameaça de vírus
Como a ameaça Darkhotel age?
Esta campanha é incomum por empregar níveis variados de intenção maliciosa.
(1) Phishing
Em uma ponta do espectro, são usados e-mails de phishing para a infiltração em bases industriais de defesa (DIB), governos, ONGs, grandes fabricantes de eletrônicos e periféricos, empresas farmacêuticas, provedores médicos, organizações militares e legisladores do setor de energia. Os ataques seguem o processo típico do phishing, com implantes do Darkhotel completamente disfarçados. O conteúdo do falso e-mail geralmente envolve temas como energia nuclear e recursos de armamentos. Nos últimos anos, muitos e-mails de phishing continham uma exploração de "dia zero" da Adobe anexada ou links que redirecionam o navegador da vítima para exploits de "dia zero" do Internet Explorer. Seu objetivo é roubar dados dessas organizações.
(2) Envio de malware
Do outro lado do espectro, o malware é disseminado indiscriminadamente por meio de sites de compartilhamento de arquivos P2P japoneses. O malware é enviado como parte de um grande arquivo comprimido RAR, que supostamente oferece conteúdo sexual, mas instala um cavalo de Troia backdoor que coleta dados confidenciais da vítima.
(3) Infecção
Em uma abordagem que reside entre esses dois pontos, as vítimas são executivos desavisados que viajam para fora do país e se hospedam em hotéis. Então, são infectados por um cavalo de Troia raro que se disfarça como uma de muitas versões de um software importante, como a Barra de ferramentas do Google, o Adobe Flash e o Windows Messenger. Os invasores usam esse primeiro estágio de infecção para qualificar suas vítimas e baixar outros programas de malware nos computadores das vítimas mais importantes, com o objetivo de roubar dados confidenciais.
Com base em uma cadeia de caracteres do código malicioso, parece que a ameaça vem de um agente coreano.
Qual é a relevância do Darkhotel?
Mesmo com a sofisticação técnica de tantos ataques direcionados, eles geralmente começam induzindo funcionários a fazer algo que prejudica a segurança corporativa. Funcionários que lidam diretamente com o público (por exemplo, executivos seniores, representantes de vendas e marketing) são particularmente vulneráveis, pois costumam estar sempre em trânsito e usar redes não confiáveis (por exemplo, em hotéis) para se conectar com a rede corporativa.
Características da campanha Darkhotel
- Ataques direcionados concentrados em altos executivos: CEOs, vice-presidentes seniores, diretores de vendas e marketing e altos funcionários de P&D
- O grupo usa ataques direcionados e operações do tipo botnet. Eles comprometem redes de hotéis, depois preparam ataques dessas redes sobre vítimas importantes selecionadas. Ao mesmo tempo, usam operações do tipo botnet para vigilância massiva ou outras tarefas, como ataques de Negação de Serviço Distribuído (DDoS), ou para instalar ferramentas de espionagem mais sofisticadas nos computadores de vítimas particularmente interessantes.
- Uso de explorações de "dia zero" para atingir o Internet Explorer e produtos da Adobe.
- Uso de um keylogger avançado e discreto para roubar dados confidenciais.
- Código malicioso assinado com certificados digitais roubados.
- Uma campanha persistente: o Darkhotel opera há quase uma década.
Como posso me prevenir contra os ataques do Darkhotel?
Embora a prevenção total seja desafiadora, seguem algumas dicas de como se manter em segurança durante uma viagem.
- Se você pretende acessar uma conexão Wi-Fi pública ou semipública, use somente túneis VPN confiáveis
- Conheça e entenda a atuação dos ataques de phishing
- Faça a manutenção e atualize todos os softwares do sistema
- Sempre verifique arquivos executáveis e trate os arquivos compartilhados por redes P2P com cuidado e desconfiança
- Durante uma viagem, limite as atualizações de software
- Instale um bom software de segurança de Internet: ele deve incluir defesa proativa contra novas ameaças e não apenas a proteção antivírus básica