Campanha usa operação na Venezuela para enganar entidades políticas dos EUA
Por Jaqueline Sousa • Editado por Jones Oliveira |
A operação militar orquestrada pelos Estados Unidos para capturar Nicolás Maduro, presidente da Venezuela, é usada por cibercriminosos para distribuir malware.
- Operação contra Maduro: ataque hacker pode ter causado apagão na Venezuela
- VPNs e aplicativos de segurança bombam na Venezuela após ações dos EUA
Segundo especialistas de segurança, hackers organizaram campanhas de spear phishing para atacar diretamente entidades políticas dos EUA, usando o contexto atual da operação contra Maduro como isca para instalar um backdoor chamado LOTUSLITE em dispositivos governamentais.
Pelo que foi observado, o backdoor chega por meio de um arquivo ZIP que contém um DLL malicioso. Como o arquivo é identificado pelo título “EUA decidem agora o que vem a seguir para a Venezuela.zip”, o risco de que a vítima acesse o conteúdo comprometido sem saber da procedência real é ainda maior.
Os pesquisadores não identificaram se a campanha conseguiu ser bem-sucedida em todos os casos, mas a ação foi atribuída ao Mustang Panda, um grupo hacker patrocinado pela China.
Nos bastidores da campanha
A campanha voltada para organizações políticas americanas tem como base a implantação de um backdoor, que é projetado em C++ para conseguir se comunicar com um servidor de C2 que já vem embutido no código.
O backdoor se apoia nas APIs WinHTTP do Windows para que o sistema conceda permissões para a realização de tarefas remotas e, consequentemente, exfiltrar dados do dispositivo visado. A ferramenta ainda estabelece persistência pela modificação do Registro do Windows, o que garante que ela seja executada toda vez que o usuário fizer login no sistema.
Para completar a operação maliciosa, o backdoor faz com que a DLL seja executada por meio de um carregamento lateral, mais um passo da campanha para instalar o malware no dispositivo do alvo.
O que mais surpreendeu os especialistas é que a tática usada pelos criminosos não apresenta técnicas complexas e nem recursos avançados para comprometer sistemas governamentais. Tudo é feito a partir de ações simples e confiáveis, usando funcionalidades básicas de comando e controle para execução do backdoor.
Leia também:
- Ciberguerra: China intensifica ataques digitais contra Taiwan
- Ciberataques na Oceania mostram mudança de estratégia de hackers
- Comissão Comercial dos EUA proíbe GM de vender dados de usuários por 5 anos
Fonte: The Hacker News