Campanha de espionagem virtual concentra ações na América Latina

Uma nova campanha de espionagem virtual foi identificada pela empresa de segurança Kaspersky Lab. Chamada de Saguaro, o grupo estaria atuando desde 2009 e tem como principais vítimas grandes organizações da América Latina, do segmento financeiro, saúde e pesquisas, além de provedores de internet, agências de relações públicas, universidades e empresas de logística. 

Com base na investigação da Kaspersky Lab, especialistas concluíram que os invasores da campanha falam espanhol e tem origem no México. Por conta disso, a grande maioria das vítimas está no país, muito embora países como Colômbia, Brasil, EUA, Venezuela e República Dominicana também tenham sido impactados pelas ações do grupo. 

O objetivo dos invasores é espionar e roubar informações sigilosas das vítimas, que já contabilizam 120 mil.

“Embora o ‘Saguaro’ possa ser considerado elemento do ‘crime virtual tradicional’, a concentração geográfica das vítimas e as técnicas simples usadas para obter acesso a várias instituições de primeira linha o tornam um agente de ameaças incomum e difícil de controlar no cenário latino-americano”, afirma Dmitry Bestuzhev, Diretor da Equipe de Pesquisa e Análise Global da Kaspersky Lab na América Latina. Ainda de acordo com o especialista, o modelo usado em todos os domínios é praticamente o mesmo; isso gera uma assinatura única, que ajudou a descobrir a magnitude da operação.

Como atua
Todas as evidências coletadas indicam que o Saguaro continua em atividade. Os ataques começaram com um simples e-mail de phishing, que enganava vítimas para que abrissem um documento do Microsoft Office com uma macro maliciosa incorporada. A fim de criar um gancho mais plausível e para manter a discrição, esses documentos parecem ser de uma conhecida agência do governo ou instituição financeira local. 

Na etapa seguinte, uma segunda carga é baixada de amplo acervo de hosts da web disponíveis para o grupo Saguaro e por fim executada pela macro, infectando assim o sistema com o malware escolhido pelo grupo.

O armazenamento on-line do malware com nomes de arquivo como 'logo.gif' ou 'logo.jpg' e a utilização de servidores de comando e controle (C&C) diferentes em cada ataque tornam difícil rastrear e identificar o tráfego de rede suspeito, pois toda a comunicação é feita por meio de solicitações HTTP padrão. Além disso, os servidores web usados para distribuir os vários componentes costumam ser servidores legítimos comprometidos pelos invasores, ou servidores instalados especialmente pelo grupo.

No momento, não há indicações de exploits que utilizam vulnerabilidades 0-day. Porém, os documentos continuam sendo modificados e lançados em campo de acordo com os alvos visados pelo grupo. A simplicidade é um aspecto fundamental de toda a campanha e, da mesma forma que várias outras ameaças regionais, a reutilização do código é sempre prioridade para evitar o desenvolvimento desnecessário e custoso de novos malwares.

O grupo de espionagem virtual usa malware, backdoors e ferramentas de administração remota capazes de roubar dados de navegadores da web, clientes de e-mail, aplicativos de FTP, programas de mensagens instantâneas, conexões VPN e até capturar senhas de redes Wi-Fi e credenciais de nuvem armazenadas. Além disso, um dos módulos extrai endereços de contatos dos computadores das vítimas. 

Os especialistas da Kaspersky também identificaram que o malware procura jogos on-line, conexões RDP, mineradores de bitcoins e detecta se computadores visados são conectados a dispositivos Apple ou Samsung via USB. Todas as novas amostras de malware do Saguaro em atividade têm baixa taxa de detecção pelas soluções antivírus.