ESET informa sobre ataques no Paquistão com o objetivo de roubar dados através de anexos falsos

Um ataque direcionado que tentava roubar informações importantes e sensíveis de várias organizações, principalmente no Paquistão (com uma distribuição reduzida no resto do mundo), foi descoberto e analisado pela ESET. A pesquisa da ESET sugere que a ameaça está ocorrendo há pelo menos dois anos e está centrada na Índia.

Essa ameaça usa um certificado de assinatura de código emitido por uma empresa aparentemente legítima para assinar malware, melhorando assim sua capacidade de propagação. A empresa estava sediada em Nova Délhi, na Índia, e o certificado foi emitido em 2011. O malware foi espalhado por documentos anexados a emails.

“Identificamos vários documentos diferentes em uma variedade de questões, possivelmente atraindo o interesse dos destinatários. Um deles diz respeito às forças armadas indianas. Não temos informações precisas, como exatamente quais indivíduos ou organizações estavam alvejando esses arquivos, mas, de acordo com nossa pesquisa, assumimos que indivíduos e organizações no Paquistão foram alvejados “, disse Jean-Ian Boutin, pesquisador de malware da ESET. Por exemplo, um dos arquivos PDF falsos foi entregue por meio de um arquivo de exportação automático chamado “pakistandefencetoindiantopmiltrysecreat.exe”, e os dados de telemetria da ESET mostram que o Paquistão foi fortemente infectado por essa campanha de 79%, mostrando um aumento percentual.

graph-pakistan-attack Ο πρώτος A operadora contagiosa usou uma vulnerabilidade amplamente usada, conhecida como CVE-2012-0158, que pode ser explorada por documentos criados especialmente para o Microsoft® Office e permite a execução de senhas arbitrárias.Os documentos foram entregues por email e o código malicioso foi executado indiscriminadamente. A outra operadora infectada se espalhou pelos arquivos executáveis ​​do Windows na forma de documentos Word ou PDF – novamente por e-mail.Nos dois casos, para não suspeitar da vítima, documentos falsificados aparecem ao usuário contra execução.

O malware roubou dados confidenciais de computadores infectados e os enviou aos servidores dos invasores. Ele usou uma variedade de técnicas de roubo de dados, como key-logger, capturas de tela e upload de arquivos no computador do invasor. De particular interesse é o fato de que os dados roubados foram “enviados” sem criptografia para o servidor do invasor. “A decisão de não usar criptografia levanta questões, pois seria fácil adicionar criptografia básica e oferecer proteção adicional à detecção”, acrescenta Jean-Ian Boutin.

A análise técnica completa do ataque está disponível no WeLiveSecurity.com – a nova plataforma da ESET, com as informações e análises mais recentes sobre ameaças cibernéticas e dicas úteis de segurança.

Nomes de detecção

Abaixo está uma lista de nomes da ESET para as ameaças associadas a esse ataque multifacetado e com vários vetores:

Win32 / Agent.NLD wormWin32 / Spy.Agent.NZD TrojanWin32 / Spy.Agent.OBF TrojanWin32 / Spy.Agent.OBV TrojanWin32 / Spy.KeyLogger.NZL TrojanWin32 / Spy.KeyLogger.NjanFy3.ZN TrojanWin3 .VB.NRP TrojanWin32 / TrojanDownloader.Agent.RNT TrojanWin32 / TrojanDownloader.Agent.RNV TrojanWin32 / TrojanDownloader.Agent.RNW TrojanWin32 / VB.NTC TrojanWin32 / Vjan.NVQ VTVW.3B.Now/ TrojanWin32 / TrojanWin32 / VB.QTY TrojanWin32 / Spy.Agent.NVL TrojanWin32 / Spy.Agent.OAZ Trojan

Sobre a ESET

A ESET foi fundada em 1992 e é uma empresa de desenvolvimento de software de segurança que oferece proteção imediata e completa contra ameaças cibernéticas em evolução para empresas e usuários domésticos. A ESET foi pioneira e continua liderando o setor na detecção de cyberbullying. O ESET NOD32 Antivirus detém o recorde de prêmios VB100 da revista Virus Bulletin, sem perder nenhum vírus ou vírus “in-the-wild” desde seu primeiro teste comparativo em 1998. Ele se destacou como um dos empresas mais inovadoras da Europa no HSBC European Business Awards em 2011 e foi premiado várias vezes pela AV-Comparatives, AV Test e outras organizações. O ESET NOD32 Antivírus, o ESET Smart Security, o ESET Mobile Security e o ESET Cybersecurity (solução Mac) são as soluções de segurança mais recomendadas no mundo.

A sede da empresa está localizada em Bratislava (Eslováquia), com centros regionais nas seguintes áreas: San Diego (EUA), Buenos Aires (Argentina) e Cingapura. A empresa também possui vários centros de pesquisa em todo o mundo em Bratislava, San Diego, Buenos Aires, Praga (República Tcheca), Cracóvia (Polônia), Montreal (Canadá), Moscou (Rússia) e está representada em 180 países. rede de parceiros.

eset.com