A Kaspersky Lab descobriu recentemente isso Pegue isso, uma nova campanha de espionagem corporativa digital que conseguiu roubar cerca de 10.000 arquivos de pequenas e médias empresas, principalmente na Tailândia, Índia e Estados Unidos. As empresas visadas por Pegue isso atuavam em diversas áreas, como: produtos químicos, nanotecnologia, educação, produção agrícola, mídia, construção, etc.
A campanha também trabalhou nos Emirados Árabes Unidos, Alemanha, Israel, Canadá, França, Áustria, Sri Lanka, Chile e Bélgica.
“Vimos muitas campanhas de espionagem focadas em grandes empresas, governo e outras organizações importantes. Pequenas e médias empresas raramente estão entre os alvos desses ataques. No entanto, o Grabit prova que, no mundo digital, qualquer organização, independentemente de possuir capital, informações importantes ou influência política, pode potencialmente atrair o interesse de um corpo malicioso.
A campanha Grabit ainda está ativa, e é por isso que é extremamente importante que as empresas controlem suas redes para mantê-las seguras. Em 15 de maio, um simples keylogger do Grabit foi encontrado com milhares de contas de vítimas vinculadas a centenas de sistemas “infectados”. Essa ameaça não deve ser subestimada “, afirmou ele. Eu faço NoarPesquisador de segurança sênior do Grupo Mundial de Pesquisa e Análise da Kaspersky Lab.
“Infecção” começa quando um usuário em uma empresa recebe um email com um anexo semelhante a um arquivo do Word (.doc). Quando o usuário “baixa” o documento, o spyware entra no computador a partir de um servidor remoto, que foi comprometido pela equipe Grabit, para ser usado como malware.
Os invasores controlam suas vítimas usando o keylogger HawkEye (uma ferramenta comercial de espionagem da HawkEyeProducts) e uma unidade de configuração que contém várias Ferramentas de Gerenciamento Remoto.
Segundo os especialistas da Kaspersky Lab, uma indicação do tamanho da campanha é que um keylogger em apenas um dos servidores de comando e controle conseguiu roubar 2.887 senhas, 1.053 mensagens e 3.023 nomes de usuário de 4.928 hosts diferentes, interna e externamente, entre incluindo Outlook, Facebook, Skype, GMail, Pinterest, Yahoo, LinkedIn e Twitter. Ele também conseguiu roubar informações da conta bancária e outras informações.
Um grupo diversificado de criminosos digitais
A equipe por trás do Grabit não está fazendo nenhum esforço extra para ocultar sua atividade, como é o caso em outros casos. Algumas amostras maliciosas usavam o mesmo servidor host, até as mesmas credenciais de login, comprometendo sua própria atividade e segurança.
Por outro lado, os invasores usam técnicas poderosas de mitigação para manter seu código oculto dos analistas.
Isso leva a Kaspersky Lab a acreditar que, por trás das atividades da Grabit, existe uma equipe diversificada, com alguns de seus membros tendo mais conhecimento técnico do que outros e concentrando-se em dificultar sua localização.
A análise dos especialistas mostra que quem programou o software malicioso não escreveu o código inteiro desde o início.
Para se proteger do Grabit, a Kaspersky Lab sugere:
Os produtos da Kaspersky Lab detectam todas as amostras conhecidas do Grabit e protegem os usuários contra essa ameaça.
Mais informações sobre o Grabit estão disponíveis em Securelist.com.
