Grupo cibercriminoso com associações ao governo da China são associados aos ciberataques
Os ataques seriam da quadrilha BlackTech, conhecida por golpes contra companhias de outros países, como Taiwan e EUA. De acordo com alerta emitido pelos especialistas da NTT Security, o malware chega por meio de e-mails em nome de parceiros comerciais conhecidos das companhias-alvo.
Mensagem do ciberataques contém um arquivo do Excel compactado nos formatos RAR ou ZIP
Já a mensagem contém um arquivo do Excel compactado nos formatos RAR ou ZIP, dentro do qual há um macro malicioso. Capaz, portanto, de baixar o Flagpro e o instalá-lo no computador da vítima.
A partir daí, a praga começa suas tarefas de reconhecimento e se conecta a um servidor sob o controle dos criminosos, para o qual envia informações do sistema. A resposta vem de acordo com as características do comprometimento, e o segundo estágio é o download e execução de novos malwares.
Durante o período de aplicação dos golpes, a NTT detectou atualizações e variantes da praga, capazes de ocultar as conexões realizadas, fechar caixas de diálogo automaticamente e mudar entre os idiomas japonês, inglês e chinês de acordo com as características da máquina atingida.
Segundo os peritos, os ataques acontecem desde outubro de 2020, com as amostras mais recentes de julho deste ano. Os principais alvos seriam, sobretudo, empresas dos setores de mídia, comunicação e defesa. Ou melhor, segmentos que chamaram a atenção dos especialistas. E, ainda, levaram à investigação sobre as associações entre o BlackTech e o governo da China, com indícios de ligação desde 2017.
Empresas de segurança
Os ataques esporádicos e a permanência por longos períodos indicam sofisticação e experiência. Os especialistas apontam, nesse sentido, que a própria aparição em um alerta de segurança pode servir para que a praga seja modificada para se tornar mais furtiva.
A NTT aponta ainda para o uso de outros tipos de malware pelo BlackTech. Seria, portanto, capaz de desenvolver as próprias soluções. Indicadores de comprometimento e práticas de segurança estão disponíveis para mitigar ou evitar contaminações pelo Flagpro e outras pragas utilizadas pelo bando.
Fonte: NTT Security, Bleeping Computer