Uma dupla de soluções maliciosas até então inéditas aparecem como acessórios dos ataques. A backdoor CommonMagic é a primeira a agir, chegando aos sistemas visados a partir de e-mails e mensagens fraudulentas.
Por Redação, com Canaltech – de Brasília
Uma operação de espionagem está em andamento desde 2021 usando malwares que foram descobertos apenas agora. Aparentemente ligados a interesses geopolíticos, os ataques atingem empresas dos setores de administração, agricultura e transporte de três países da Europa e parecem focar no roubo de informações privilegiadas.
Uma dupla de soluções maliciosas até então inéditas aparecem como acessórios dos ataques. A backdoor CommonMagic é a primeira a agir, chegando aos sistemas visados a partir de e-mails e mensagens fraudulentas, com arquivos anexados em PDF que escondem atalhos do Windows apontando para endereços maliciosos. É a partir deles que é instalado o PowerMagic, um framework que usa plugins e recursos do próprio Windows para roubar os dados.
De acordo com o relatório da Kaspersky, empresa de segurança que revelou a operação, após implantada, a praga realiza capturas de tela a cada três segundos, usando a própria API gráfica do Windows para não levantar suspeitas. Enquanto isso, também aguarda a inserção de drives USB para furtar os dados contidos neles, principalmente nos formatos PDF, DOC, XLS, TXT, ZIP e RAR, outra demonstração da preferência por documentos e imagens que possam ser sigilosas.
Os dados furtados
Modular, o PowerMagic baixa e instala apenas os plugins que necessita para realizar atividades específicas, o que inclui a aplicação de criptografia à comunicação com seus servidores de controle, para onde os dados furtados são enviados. A praga também pode receber novos comandos que incluem até mesmo o apagamento dos próprios rastros, de forma que a espionagem não seja descoberta mesmo após uma análise de segurança.
Segundo a Kaspersky, dezenas de alvos teriam sido atingidos nas Repúblicas Populares de Lugansk e Donetsk, próximas à Ucrânia, e também na Crimeia, a partir de setembro de 2021. Esse direcionamento leva à conclusão de que os ataques estariam alinhados aos interesses russos, principalmente depois que as contaminações se intensificaram em meados do ano passado.
Apesar dos métodos comprovadamente eficazes, a Kaspersky cita os ataques como pouco sofisticados, já que o método de entrada é amplamente conhecido e usual. Ainda assim, as campanhas de phishing parecem bem desenvolvidas, diante da lista de vítimas, enquanto o foco governamental e na infraestrutura dos territórios visados devem acender um sinal de alerta para as organizações oficiais e corporações dos países atingidos.
