Links maliciosos escondidos em notícias falsas sobre a guerra no Irã estão sendo utilizados por hackers chineses para atacar alvos militares e a indústria de energia no Catar. Detalhes dessas ações foram revelados pela Check Point Research na segunda-feira (9).
De acordo com a empresa de cibersegurança, duas campanhas maliciosas distintas foram intensificadas em meio aos conflitos no Oriente Médio, aproveitando a ofensiva em curso como isca para as vítimas. O grupo conhecido como Camaro Dragon estaria por trás das operações.
smart_display
Nossos vídeos em destaque
Organizações militares como alvo
Iniciada um dia após o lançamento da Operação Epic Fury por Estados Unidos e Israel, um dos ataques cibernéticos usava fotos da destruição causada por mísseis iranianos nas proximidades de uma base no Bahrein para espalhar malware. Ao abrir a notícia, a cadeia de infecção se iniciava.
- Quando executado, o arquivo LNK escondido no documento compactado iniciava a conexão com o servidor dos cibercriminosos para baixar softwares comprometidos;
- Um deles é o Baidu NetDisk, para gerenciamento de arquivos na nuvem, que trazia o trojan PlugX integrado, usado por hackers chineses desde 2008;
- Esse backdoor modular permite aos invasores acessar o dispositivo infectado remotamente, para executar comandos maliciosos;
- Monitoramento do PC em tempo real, com registro de teclas digitadas e capturas de tela, além do roubo de dados, são alguns dos recursos do trojan.
Tal método de infecção não é inédito. Segundo os pesquisadores de segurança, a mesma técnica foi identificada em dezembro passado em ciberataques direcionados a organizações militares da Turquia.
“Essa consistência sugere que o grupo mantém um foco mais amplo em alvos no Oriente Médio, com as operações agora se voltando para entidades no Catar, à medida que o atual cenário regional cria novas oportunidades de ataque”, destacou a Check Point, em comunicado.
Ataques à indústria de energia
Já a segunda campanha teve como foco empresas dos setores de petróleo e gás do Catar, de acordo com o relatório. Neste caso, os cibercriminosos usaram IA para criar conteúdo falso se passando pelo governo de Israel e invadir os dispositivos dos alvos.
Escondido em um arquivo compactado que supostamente trazia informações sobre impactos da guerra na indústria energética, o código malicioso levava à instalação do Cobalt Strike. Essa ferramenta é usada legitimamente para a simulação de ataques.
No entanto, o uso malicioso dela proporciona o mapeamento completo da rede invadida. Cibercriminosos frequentemente aproveitam o recurso para avaliar o ambiente e determinar se uma ação mais profunda é válida.
Os especialistas destacaram que organizações e autoridades na região devem ter extrema cautela ao lidar com anexos de emails relacionados aos conflitos no Oriente Médio, principalmente em épocas de tensão. Este foi o principal meio de distribuição dos arquivos maliciosos nas duas campanhas.
Curtiu o conteúdo? Siga no TecMundo para conferir as últimas notícias de cibersegurança.