Kaspersky Lab descobre o Grabit

A Kaspersky Lab descobriu recentemente isso Pegue isso, uma nova campanha de espionagem corporativa digital que conseguiu roubar cerca de 10.000 arquivos de pequenas e m√©dias empresas, principalmente na Tail√Ęndia, √ćndia e Estados Unidos. As empresas visadas por Pegue isso atuavam em diversas √°reas, como: produtos qu√≠micos, nanotecnologia, educa√ß√£o, produ√ß√£o agr√≠cola, m√≠dia, constru√ß√£o, etc.

A campanha tamb√©m trabalhou nos Emirados √Ārabes Unidos, Alemanha, Israel, Canad√°, Fran√ßa, √Āustria, Sri Lanka, Chile e B√©lgica.roubar

“Vimos muitas campanhas de espionagem focadas em grandes empresas, governo e outras organiza√ß√Ķes importantes. Pequenas e m√©dias empresas raramente est√£o entre os alvos desses ataques. No entanto, o Grabit prova que, no mundo digital, qualquer organiza√ß√£o, independentemente de possuir capital, informa√ß√Ķes importantes ou influ√™ncia pol√≠tica, pode potencialmente atrair o interesse de um corpo malicioso.

A campanha Grabit ainda est√° ativa, e √© por isso que √© extremamente importante que as empresas controlem suas redes para mant√™-las seguras. Em 15 de maio, um simples keylogger do Grabit foi encontrado com milhares de contas de v√≠timas vinculadas a centenas de sistemas “infectados”. Essa amea√ßa n√£o deve ser subestimada “, afirmou ele. Eu fa√ßo NoarPesquisador de seguran√ßa s√™nior do Grupo Mundial de Pesquisa e An√°lise da Kaspersky Lab.

“Infec√ß√£o” come√ßa quando um usu√°rio em uma empresa recebe um email com um anexo semelhante a um arquivo do Word (.doc). Quando o usu√°rio “baixa” o documento, o spyware entra no computador a partir de um servidor remoto, que foi comprometido pela equipe Grabit, para ser usado como malware.

Os invasores controlam suas vítimas usando o keylogger HawkEye (uma ferramenta comercial de espionagem da HawkEyeProducts) e uma unidade de configuração que contém várias Ferramentas de Gerenciamento Remoto.

Segundo os especialistas da Kaspersky Lab, uma indica√ß√£o do tamanho da campanha √© que um keylogger em apenas um dos servidores de comando e controle conseguiu roubar 2.887 senhas, 1.053 mensagens e 3.023 nomes de usu√°rio de 4.928 hosts diferentes, interna e externamente, entre incluindo Outlook, Facebook, Skype, GMail, Pinterest, Yahoo, LinkedIn e Twitter. Ele tamb√©m conseguiu roubar informa√ß√Ķes da conta banc√°ria e outras informa√ß√Ķes.

Um grupo diversificado de criminosos digitais

A equipe por trás do Grabit não está fazendo nenhum esforço extra para ocultar sua atividade, como é o caso em outros casos. Algumas amostras maliciosas usavam o mesmo servidor host, até as mesmas credenciais de login, comprometendo sua própria atividade e segurança.

Por outro lado, os invasores usam técnicas poderosas de mitigação para manter seu código oculto dos analistas.

Isso leva a Kaspersky Lab a acreditar que, por trás das atividades da Grabit, existe uma equipe diversificada, com alguns de seus membros tendo mais conhecimento técnico do que outros e concentrando-se em dificultar sua localização.

A análise dos especialistas mostra que quem programou o software malicioso não escreveu o código inteiro desde o início.

Para se proteger do Grabit, a Kaspersky Lab sugere:

  • Marque C: Usu√°rios AppData Roaming Microsoft, para ver se eles cont√™m arquivos execut√°veis, pois o malware pode ter invadido. Isso √© algo que n√£o deve ser esquecido.
  • Verifique as Configura√ß√Ķes do sistema do Windows atrav√©s do processo “msconfig” para garantir que o arquivo grabit1.exe n√£o esteja na tabela de inicializa√ß√£o.
  • Certifique-se de que anexos e links n√£o sejam abertos por remetentes desconhecidos. Se um usu√°rio n√£o puder abrir um arquivo, ele n√£o deve encaminh√°-lo para outros, mas pe√ßa ajuda ao departamento de TI.
  • Use uma solu√ß√£o anti-malware avan√ßada e atualizada e sempre siga a lista de tarefas a fazer antiv√≠rus para processos suspeitos.
  • Os produtos da Kaspersky Lab detectam todas as amostras conhecidas do Grabit e protegem os usu√°rios contra essa amea√ßa.

    Mais informa√ß√Ķes sobre o Grabit est√£o dispon√≠veis em Securelist.com.