Phishing é o epicentro da atividade de ciberespionagem

A empresa de antivírus Trend Micro vem acompanhando há meses uma operação de ciberespionagem chamada pela companhia de Pawn Storm, tempestade de peões de xadrez em inglês, que visa obter dados de entidades diplomáticas usando campanhas de phishing como porta de entrada para espiões.

Dentre os alvos da campanha, estão entidades militares, do governo americano e aliados, dissidentes políticos russos, ativistas ucranianos e membros da mídia na Ucrânia bem como o próprio governo desse país. Além da OTAN e governos da Europa, Ásia e Oriente Médio.

A atividade do grupo por trás da Pawn Storm foi divulgada inicialmente em junho do ano passado e desde esta época a operação se manteve ativa. A última atuação do grupo foi contra os especialistas holandeses envolvidos na investigação da queda do voo MH17 da Malaysia Airlines.

As campanhas de phishing geralmente contemplam mensagem com conteúdo de interesse da comunidade diplomática, o assunto das mensagens documentadas pela Trend são:

“Carro-bomba atinge comboio de tropas da OTAN em Cabul”
“Tropas sírias fazem ganhos à medida que Putin defende ataques aéreos”
“Israel lança ataques aéreos contra alvos em Gaza”
“O corredor de gás meridional”
“Rússia adverte EUA sobre o acúmulo de armas nucleares na Turquia”
“Exército dos EUA relata que 75 rebeldes treinados pelo país retornam à Síria”

trendmicro

                                               Fonte: Trend Micro

Assim que o usuário clica no link da mensagem, este descarrega um malware que explora vulnerabilidades em softwares largamente usados e nos sistemas operacionais. O malware passa por atualizações constantes, incorporando novas técnicas de ataque a cada versão.

A última atividade documentada explorava uma vulnerabilidade no Flash Player que a Adobe, fabricante do Flash, não tinha conhecimento da sua existência; o que em segurança é chamado de zero-day.

Segundo o pesquisador Peter Pi da Trend, a exploração da vulnerabilidade é de um tipo que ele chama de “Method Confusion” e “se localiza no método writeObject presente no objeto ByteArray. Ao processar o ba.writeObject(some_obj) considerando que o some_obj é o objeto de uma classe que implementa a interface flash.utils.IExternalizable, este chama o método writeExternal.” Através da exploração deste método presente nas versões do produto para Windows, Linux e OSX (Mac) é possível causar um crash no software que permite ao atacante tomar o controle do computador atacado.

 

Fonte: Trend Micro

 


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*