Eset desvenda nova vaga de ataques sobre a indústria de energia na Ucrânia

Segurança

A Eset detectou uma nova vaga de ataques dirigida a empresas de distribuição elétrica na Ucrânia. No final de dezembro de 2015, os ciberataques conseguiram causar uma interrupção massiva no serviço de eletricidade em várias regiões da Ucrânia. Agora os ataques voltaram, mas o malware utilizado não é o infame BlackEnergy.

O perfil do ataque não sofreu grandes alterações desde a primeira vaga. Os atacantes enviam e-mails spearphishing a potenciais vítimas com um ficheiro XLS malicioso em anexo. O e-mail contém conteúdo HTML ligado a um ficheiro PNG que está localizado em um servidor remoto de modo a que os atacantes recebam uma notificação de que o e-mail foi entregue e aberto pelo destinatário.

“Estávamos à espera de ver o malware BlackEnergy como payload final, mas desta vez usaram um malware diferente, nomeadamente versões modificadas de uma backdoor open-source,” explica, em comunicado, Robert Lipovsky, Malware Researcher na Eset.

Esta backdoor é capaz de descarregar executáveis e executar comandos shell. Outras funcionalidades incluem a possibilidade de capturas de tela, registro das teclas utilizadas ou upload de ficheiros. Esta backdoor é controlada pelos atacantes através de uma conta Gmail, tornando difícil sua detecção em uma rede.

O ficheiro XLS malicioso utiliza macros e é similar a todos aqueles que foram observados nestas vagas de ataques. Utilizando engenharia social, tenta levar a vítima a ignorar o sistema integrado de segurança do Microsoft Office, para poder executar o comando macro. O texto no documento, traduzido de Ucraniano, refere “atenção, este documento foi criado com uma nova versão do Microsoft Office. São necessárias macros para se mostrar o conteúdo do documento”.

Executar a macro leva depois ao lançamento de um downloader malicioso que tenta descarregar e executar o payload final a partir de um servidor remoto.

“Não temos atualmente provas que indiquem quem está por trás destes ataques e uma tentativa de atribuição de culpa por simples dedução baseada na atual situação política pode nos levar à resposta certa, ou não. A descoberta não nos aproxima do desvendar das origens dos ataques na Ucrânia. Pelo contrário, nos lembra que devemos evitar tirar conclusões precipitadas,” concluiu Lipovsky.


Clique para ler a bio do autor  Clique para fechar a bio do autor