Nova ameaça global está coletando dados de internautas com objetivo desconhecido

Por Rafael Romer | 15 de Outubro de 2015 às 14h15

A empresa de cibersegurança norte-americana FireEye divulgou nesta quarta-feira (14) alguns dados preliminares sobre uma investigação que está acompanhando uma nova ameaça online, a qual vem coletando informações de usuários de diferentes regiões do mundo com objetivo ainda desconhecido.

A investigação faz parte da coleção de insights de inteligência da companhia e ainda não foi concluída, mas alguns detalhes já foram descobertos após seis meses de levantamento de informações.

De acordo com a FireEye, a ameaça chama a atenção por estar utilizando como fonte algumas ferramentas comuns de mercado para coleta de dados analíticos como informações pessoais e dados de navegação de internautas, como o Google Analytics.

"O que estamos vendo é uma tendência de grupos que estão usando serviços web legítimos, como redes sociais, serviços de armazenamento em nuvem e plataformas que estão disponíveis gratuitamente para transformá-los em meios de coletar informações para reconhecimento em larga escala, a fim de aprender mais sobre os alvos desejados", explicou Nick Rossmann, gerente de inteligência da FireEye.

A invasão não está nas ferramentas em si, mas se aproveita de sites pequenos, mal-programados e pouco seguros para instalação de um sniffer capaz de interceptar dados de tráfego de usuários que acessam o conteúdo destas páginas comprometidas. Entre os dados coletados pelo grupo ainda desconhecido estão informações como idade, local de acesso, sexo, idoma e interesse.

Além disso, os usuários que acessam esses sites são redirecionados para um script do tipo Witchcoven que também coleta informações sobre o sistema utilizado para acessar o site, como navegador, versão do Java e de softwares Adobe — o que poderia ser utilizado para criação de malwares customizados para afetar um usuário de acordo com suas vulnerabilidades.

A operação tem escala global e está atingindo diferentes países do mundo, mas está concentrada principalmente na Europa e nos Estados Unidos, onde respectivamente 50% e 33% do total dos sites infectados estão. Na América Latina, Chile, Bolívia, Uruguai e Equador também apareceram como países com sites comprometidos.

Segundo a FireEye, ainda é cedo para indicar com certeza quem são os responsáveis pela coleta de informações, mas a companhia afirma que a ameaça não parece ser um ataque cibercriminoso comum, já que até agora a ação não está visando ganhos financeiros e nenhum tipo de malware está sendo distribuído através dos sites afetados.

Por isso, a tese principal é que o ataque que pode estar sendo patrocinado por algum país, visando atender interesses nacionais do atacante. Em especial, a companhia suspeita que a origem da coleta possa ser a Rússia, já que alguns países de interesse geopolítico estratégico para o governo russo, como a Ucrânia e Geórgia, estão entre os mais afetados. Além do mais, diversos dos sites afetados estão em língua russa.

"O que nós imaginamos é que o grupo por trás desse ataque esteja atrás de alguns alvos específicos, como diplomatas norte-americanos e europeus, executivos, oficiais de governo latino-americanos e indivíduos e organizações ligados a países do leste europeu, particularmente Geórgia e Ucrânia", afirmou Rossmann.

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.