Skeleton Key Malware ativo por dois anos

O Malware Skeleton Key conseguiu ficar “escondido” nos últimos dois anos, mas os pesquisadores do Dell SecureWorks descobriram isso na rede de um cliente..

Skeleton Key Malware

A ameaça foi usada pelos invasores para ignorar as verificações de identidade nos sistemas Active Directory com uma política de segurança de autenticação de fator único. Isso permite a conexão ao sistema como um usuário legítimo, mas com uma senha de sua escolha.

A Symantec conduziu sua própria análise em uma amostra de malware e identificou uma conexão com o backdoor Windoi, que é usado em vários ataques direcionados contra empresas em todo o mundo.

A Kaspersky alega que o backdoor é gerenciado por atacantes especializados em violar as redes de redes de empresas de videogame e tem a capacidade de roubar código fonte e certificados digitais.

Gavin Gorman, da Symantec, disse à Skeleton Key (identificado como Trojan.Skelky) que nos últimos dois anos, o malware evoluiu e novas variantes surgiram.

Os primeiros vestígios de sua atividade foram registrados em janeiro de 2013 e ele não apareceu até novembro do mesmo ano. Desde então, os atacantes o usam com frequência, pois quatro variantes apareceram.

“A Symantec detectou o malware Skeleton Key em computadores que foram comprometidos em cinco organizações, com escritórios nos Estados Unidos e no Vietnã. A natureza exata e os nomes dos organismos afetados são desconhecidos pela Symantec “, disse Gorman em um post de blog na quinta-feira.

A conexão entre o Skeleton Key e o Winnti foi baseada no fato de os invasores usarem a mesma senha em três variantes diferentes de malware e mostra que uma única equipe está por trás disso.

Outras ameaças foram encontradas em dois dos sistemas que foram comprometidos pelo software malicioso Skeleton Key, uma variante do Winnti backdoor e um conta-gotas. Como as duas ameaças foram detectadas nos mesmos sistemas, pode-se concluir que elas podem ser usadas em combinação.

A Symantec não encontrou nenhuma evidência de que muitos grupos de hackers usavam esse malware, mas não descarta essa possibilidade.