2017-3-08

SECURITY

Novo malware recorre a técnicas anti-deteção e de espionagem

O novo malware wiper, StoneDrill, destrói todas as informações que se encontram nos equipamentos infetados

Novo malware recorre a técnicas anti-deteção e de espionagem

O StoneDrill foi detetado pela equipa de análise e investigação da Kaspersky Lab (GREAT) e dispõe de avançadas técnicas anti deteção e espionagem. Para além dos seus objetivos no Médio Oriente, StoneDrill já foi identificado também na Europa, onde os wipers ainda não tinham surgido.

Em 2012, o wiper Shamoon (conhecido também como Disttrack) tornou-se famoso ao infetar cerca de 35 mil computadoras de uma empresa petrolífera do Médio Oriente. O ataque colocou em perigo cerca de 10% do fornecimento mundial de petróleo. No entanto, o incidente ocorreu apenas uma vez, e no final do ano passado foi detetada uma variante muito mais extensa que utiliza uma versão atualizada do malware de 2012 - Shamoon 2.0. Precisamente quando estavam a analisar estes ataques, os investigadores da Kaspersky Lab encontraram outro malware semelhante ao Shamoon 2.0 que, no entanto, era muito diferente e mais sofisticado, ao qual foi dado o nome de StoneDrill.

A Kaspersky ainda não detetou de que forma se propaga o StoneDrill, mas verificou que este, após entrar no equipamento infetado, se aloja no processador de memória do motor de busca preferido do utilizador. O StoneDrill utiliza duas técnicas sofisticadas de anti emulação com o objetivo de despistar as soluções de segurança instaladas no sistema da vítima, procedendo à destruição dos arquivos dos discos do equipamento. Até agora foram identificados dois casos do wiper StoneDrill, um no Médio Oriente e outro na Europa.

Juntamente com o módulo de eliminação, os analistas da Kaspersky Lab encontraram uma backdoor do StoneDrill que terá sido desenvolvida pelos mesmos programadores e utilizado para espiar. Os especialistas descobriram quatro painéis de comando e controlo utilizados pelos atacantes para realizar operações de espionagem com a ajuda da backdoor contra um número desconhecido de alvos.

Quando os investigadores da Kaspersky Lab descobriram o StoneDrill, deram-se conta de que estavam perante um objeto malicioso que parecia ter sido criado sem relação com o Shamoon. E, apesar de ambas as famílias, Shamoon e StoneDrill não partilharem o mesmo código base, o estilo de programação e os alvos dos autores são muito semelhantes.

Também foi possível observar semelhanças com outros malwares anteriores, no entanto não entre o Shamoon e StoneDrill. Aliás, o StoneDrill utilizava alguns fragmentos do código encontrado na NewsBeef APT, também conhecido como Charming Kitten, outra campanha maliciosa muito ativa nos últimos anos.

 “Estamos muito intrigados pelas parecenças e comparações entre estas três operações. Será que o StoneDrill é fruto do mesmo sujeito por trás de Shamoon? Ou, quem sabe StoneDrill e Shamoon têm por trás dois grupos distintos e nenhuma conexão em comum mas pretendem ambos atacar entidades sauditas? Ou pertencem a dois grupos distintos perfeitamente alinhados nos seus objetivos? Provavelmente esta última possibilidade será a mais plausível uma vez que, enquanto o Shamoon inclui secções escritas em árabe, StoneDrill tem-nas em persa. Os analistas geopolíticos rapidamente comentariam que tanto o Irão como o Iémen são atores no conflito entre Irão e Arabia Saudita, e a Arabia Saudita é o país onde mais vítimas deste malware foram identificadas. No entanto, isto não exclui a possibilidade de que estes alvos sejam simplesmente iscos”, comenta Mohamad Amin Hasbini, analista sénior de segurança da equipa mundial de análise e investigação da Kaspersky Lab.

O fabricante de soluções de segurança aconselha os utilizadores a realizarem um teste de segurança à rede de controlo, de forma a identificar e eliminar quaisquer falhas de segurança. Será necessário rever as políticas de segurança de terceiros e fornecedores externos que tenham acesso direto à rede de controlo. De acordo com a Kaspersky é também fundamental apostar na formação dos colaboradores, dedicando especial atenção aos equipamentos de engenharia e operações e ao conhecimento dos mais recentes ataques e ameaças, e dispor de protção adequada.

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.