Criminosos usam marca das Nações Unidas em ataques contra minoria na China

A minoria uigure está sendo alvo de ataques de cibercriminosos na China e no Paquistão, com e-mails que usam o nome de organizações diplomáticas e de direitos humanos para instalação de malwares espiões. O objetivo é obter acesso aos recursos do Windows para extração de informações e acompanhamento dos alvos, com os documentos usando até mesmo o logo e estética das Organização das Nações Unidas.

• Controle remoto pode ser usado para espionar usuários
• Indicador de status do WhatsApp vira arma para aplicativos de vigilância
• Ferramenta roubada da NSA foi usada por criminosos chineses por anos

Os ataques contra a minoria foram descobertos em pesquisa da Check Point Research, em colaboração com a Kaspersky. Além do envio de e-mails contra os uigures, também no Paquistão, a campanha de espionagem conta com sites falsos em nomes de empresas ou organizações humanitárias inexistentes, que oferecem ajuda e apoio, mas na verdade tentam instalar backdoors nos computadores das vítimas.

Os uigures são de origem turca e estão localizados, principalmente, na região chinesa de Xinjiang. É lá, também, o maior foco de repressão do governo do país contra a minoria, particularmente por conta de suas raízes muçulmanas. Dados da ONU indicam que mais de um milhão de cidadãos da província foram presos nos chamados “campos de doutrinação política”, citados pelas autoridades como parte de sua luta contra o terrorismo doméstico, mas também denunciados por violações severas dos direitos humanos.

O documento falso, assinado em nome das Nações Unidas, aborda justamente essas transgressões. Trata-se da ata de uma assembleia a ser realizada sobre o assunto, com denúncias e citações sobre casos ocorridos dentro destes campos; o ofício, no formato DOCX, serve de vetor para a instalação de malware, que passa a monitorar os sites acessados, informações digitadas e demais utilizações do computador da vítima.

Um segundo vetor é associado à Fundação pela Cultura e Herança Turca, que não existe, mas diz tentar ajudar as minorias a partir de uma sede no Azerbaijão. O layout do site é copiado e se assemelha ao da Fundação Open Society, outra organização filantrópica internacional, e oferece bolsas de estudo e cursos de especialização. É a partir destes registros que o ataque acontece, com a exigência de download de uma solução que promete garantir a segurança do dispositivo, mas, na realidade, traz o malware à máquina.

Além da própria minoria, os especialistas em segurança apontam empresas e organizações que apoiam o povo de origem turca como possíveis alvos secundários. Enquanto uma relação governamental direta não foi feita, indícios no código do malware indicam que os cibercriminosos responsáveis falam o idioma chinês, enquanto trechos da programação da praga também incluem similaridades com outras tentativas realizadas na região.

A recomendação dos especialistas é para que os usuários, principalmente os que estiverem em condições vulneráveis ou sejam visados por qualquer motivo, evitem abrir arquivos anexos ou realizarem download de aplicações. Dados pessoais só devem ser entregues quando o usuário tiver certeza quanto à confiabilidade do cadastro, enquanto soluções de segurança devem estar sempre ativas e atualizadas no computador e celular, já que ajudam na proteção contra as tentativas de ataque mais comuns.

Fonte: Check Point