2017-10-18

SECURITY

Identificado zero-day Adobe usado para distribuir spyware

A Kaspersky Lab identificou a ameaça num ataque ao vivo passado dia 10 de outubro. A Adobe já emitiu um update de segurança.

Identificado zero-day Adobe usado para distribuir spyware

De acordo com investigadores da Kaspersky Lab, o zero day, CVE-2017-11292, foi identificado num ataque ao vivo, pelo que se aconselha todas as empresas e organizações governamentais a instalar a atualização da Adobe de imediato.

Os investigadores acreditam que o grupo por trás do ataque é também responsável pelo CVE-2017-8759, outro zero day encontrado em setembro – e desconfiam que o hacker envolvido é o BlackOasis, que a Equipa Global de Investigação e Análise da Kaspersky Lab começou a seguir em 2016.

Análises revelam que, após explorar com sucesso as vulnerabilidades, o malware FinSpy (também conhecido como FinFisher) é instalado no computador da vítima. O FinSpy é um malware comercial, tipicamente vendido a estados-nação e forças policiais para efeitos de vigilância. No passado, a utilização do malware era maioritariamente doméstica, com forças policiais a tirarem partido do mesmo para vigilância de alvos locais. O BlackOasis é uma exceção significativa, utilizando o malware contra uma vasta quantidade de alvos em todo o mundo, o que sugere que o FinSpy alimenta agora operações de inteligência globais, com um país a utilizar o malware contra outro. Empresas que desenvolvem software de vigilância como FinSpy tornam possível esta corrida às armas.

O malware utilizado nos ataques é a versão mais recente do FinSpy, equipado com várias técnicas de análise para dificultar a análise forense.

Após a instalação, o malware aloca uma âncora ao computador atacado e conecta-o aos servidores de comando e controlo localizados na Suíça, Bulgária e Holanda, ficando à espera de mais instruções até eliminar dados. 

Com base no relatório da Kaspersky Lab, os interesses do BlackOasis abrangem um conjunto de atores envolvidos nas políticas do Médio Oriente, incluindo figuras das Nações Unidas, bloggers de oposição e ativistas, bem como correspondentes de meios regionais. Existe também um aparente interesse em vértices de especial relevância para a região. Em 2016, os investigadores da Kaspersky Lab registaram um elevado interesse em Angola, exemplificado por documentos-isco que indicavam alvos com suspeitas de ligação a petróleo, lavagem de dinheiro e outras atividades. Existe também um interesse em ativistas internacionais e laboratórios de ideias.

Até agora, vítimas do BlackOasis foram encontradas em diferentes países: Rússia, Iraque, Afeganistão, Nigéria, Líbia, Jordânia, Tunísia, Arábia Saudita, Irão, Holanda, Bahrain, Reino Unido e Angola.

“Com este ataque que utiliza a ameaça mais recentemente descoberta – zero day –, é a terceira vez este ano que identificámos a distribuição do FinSpy através da exploração de vulnerabilidades do zero day. Anteriormente, os atores que utilizavam este malware tiravam partido dos aspetos críticos dos produtos do Microsoft Word e da Adobe. Acreditamos que o número de ataques com base no software FinSpy e apoiado pelas ameaças zero day, como as já descritas, irá continuar a aumentar,” comenta Anton Ivanov, Principal Investigador de Malware na Kaspersky Lab.

As soluções de segurança da Kaspersky Lab detetam e bloqueiam com eficácia as ameaças que utilizam a mais recente vulnerabilidade.

Especialistas da Kaspersky Lab aconselham as organizações a levar a cabo as seguintes medidas para proteger os seus sistemas e dados desta ameaça:

  • Se ainda não está instalado, utilizar a função killbit para o software Flash e, sempre que possível, desativa-lo por completo.
  • Implementar uma solução de segurança avançada e de multicamadas que abranja todas as redes, sistemas e endpoints.
  • Educar e treinar colaboradores em técnicas de engenharia social, uma vez que este método é utilizado para levar uma vítima a abrir documentos maliciosos ou a clicar em links infetados.
  • Levar a cabo testes de segurança regulares às estruturas IT da organização.
  • Utilizar a solução Threat Intelligence da Kaspersky Lab que rastreia ciberataques, incidentes ou ameaças e proporciona informação relevante e atualizada aos seus clientes.

ARTIGOS RELACIONADOS

Interpol e Kaspersky Lab celebram acordo de cibersegurança
SECURITY

Interpol e Kaspersky Lab celebram acordo de cibersegurança

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.