Kaspersky Lab descobre o Grabit

A Kaspersky Lab descobriu recentemente isso Pegue isso, uma nova campanha de espionagem corporativa digital que conseguiu roubar cerca de 10.000 arquivos de pequenas e mĂ©dias empresas, principalmente na TailĂąndia, Índia e Estados Unidos. As empresas visadas por Pegue isso atuavam em diversas ĂĄreas, como: produtos quĂ­micos, nanotecnologia, educação, produção agrĂ­cola, mĂ­dia, construção, etc.

A campanha também trabalhou nos Emirados Árabes Unidos, Alemanha, Israel, Canadå, França, Áustria, Sri Lanka, Chile e Bélgica.roubar

“Vimos muitas campanhas de espionagem focadas em grandes empresas, governo e outras organizaçÔes importantes. Pequenas e mĂ©dias empresas raramente estĂŁo entre os alvos desses ataques. No entanto, o Grabit prova que, no mundo digital, qualquer organização, independentemente de possuir capital, informaçÔes importantes ou influĂȘncia polĂ­tica, pode potencialmente atrair o interesse de um corpo malicioso.

A campanha Grabit ainda estĂĄ ativa, e Ă© por isso que Ă© extremamente importante que as empresas controlem suas redes para mantĂȘ-las seguras. Em 15 de maio, um simples keylogger do Grabit foi encontrado com milhares de contas de vĂ­timas vinculadas a centenas de sistemas “infectados”. Essa ameaça nĂŁo deve ser subestimada “, afirmou ele. Eu faço NoarPesquisador de segurança sĂȘnior do Grupo Mundial de Pesquisa e AnĂĄlise da Kaspersky Lab.

“Infecção” começa quando um usuĂĄrio em uma empresa recebe um email com um anexo semelhante a um arquivo do Word (.doc). Quando o usuĂĄrio “baixa” o documento, o spyware entra no computador a partir de um servidor remoto, que foi comprometido pela equipe Grabit, para ser usado como malware.

Os invasores controlam suas vítimas usando o keylogger HawkEye (uma ferramenta comercial de espionagem da HawkEyeProducts) e uma unidade de configuração que contém vårias Ferramentas de Gerenciamento Remoto.

Segundo os especialistas da Kaspersky Lab, uma indicação do tamanho da campanha é que um keylogger em apenas um dos servidores de comando e controle conseguiu roubar 2.887 senhas, 1.053 mensagens e 3.023 nomes de usuårio de 4.928 hosts diferentes, interna e externamente, entre incluindo Outlook, Facebook, Skype, GMail, Pinterest, Yahoo, LinkedIn e Twitter. Ele também conseguiu roubar informaçÔes da conta bancåria e outras informaçÔes.

Um grupo diversificado de criminosos digitais

A equipe por trås do Grabit não estå fazendo nenhum esforço extra para ocultar sua atividade, como é o caso em outros casos. Algumas amostras maliciosas usavam o mesmo servidor host, até as mesmas credenciais de login, comprometendo sua própria atividade e segurança.

Por outro lado, os invasores usam técnicas poderosas de mitigação para manter seu código oculto dos analistas.

Isso leva a Kaspersky Lab a acreditar que, por trås das atividades da Grabit, existe uma equipe diversificada, com alguns de seus membros tendo mais conhecimento técnico do que outros e concentrando-se em dificultar sua localização.

A anĂĄlise dos especialistas mostra que quem programou o software malicioso nĂŁo escreveu o cĂłdigo inteiro desde o inĂ­cio.

Para se proteger do Grabit, a Kaspersky Lab sugere:

  • Marque C: UsuĂĄrios AppData Roaming Microsoft, para ver se eles contĂȘm arquivos executĂĄveis, pois o malware pode ter invadido. Isso Ă© algo que nĂŁo deve ser esquecido.
  • Verifique as ConfiguraçÔes do sistema do Windows atravĂ©s do processo “msconfig” para garantir que o arquivo grabit1.exe nĂŁo esteja na tabela de inicialização.
  • Certifique-se de que anexos e links nĂŁo sejam abertos por remetentes desconhecidos. Se um usuĂĄrio nĂŁo puder abrir um arquivo, ele nĂŁo deve encaminhĂĄ-lo para outros, mas peça ajuda ao departamento de TI.
  • Use uma solução anti-malware avançada e atualizada e sempre siga a lista de tarefas a fazer antivĂ­rus para processos suspeitos.
  • Os produtos da Kaspersky Lab detectam todas as amostras conhecidas do Grabit e protegem os usuĂĄrios contra essa ameaça.

    Mais informaçÔes sobre o Grabit estão disponíveis em Securelist.com.