Check Point descobre cadeia massiva de infeção de malware utilizando o tema Coronavirus

A Check Point Research, a área de Threat Intelligence da Check Point Software Technologies Ltd fornecedor líder global de soluções de cibersegurança, detetou um ciberataque organizado por um grupo APT chinês contra o Ministério dos Negócios Estrangeiros da Mongólia. A Check Point revela que este grupo, aproveitando-se do fluxo de notícias e alerta geral em volta da expansão do Coronavirus, utilizou a identidade do Ministério dos Negócios Estrangeiros da Mongólia e enviou diversos documentos maliciosos em anexo através de email para os funcionários públicos desse país. O objetivo foi persuadir, utilizando mensagens centradas na atual situação deste vírus, para que dessem aos cibercriminosos acesso remoto à rede e deixarem uma porta aberta para o roubo de informação confidencial.

Os especialistas da empresa assinalam que um dos documentos relacionados com o COVID-19 intitulava-se “Sobre a propagação de novas infeções de Coronavirus” e inclusivamente citava o Comité Nacional de Saúde da China. A Check Point rastreou o ciberataque e detetou a autoria graças à extração de impressões digitais deixadas pelos hackers no seu próprio código de malware armazenado nos seus servidores, os quais estiveram disponíveis por alguns segundos na Internet. Graças a esses dados, os investigadores puderam descobrir a origem desta cadeia, concluindo que o grupo chinês APT estava a trabalhar neste tipo de ataques desde 2016 com o objetivo habitual de roubo de informação de entidades públicas e empresas de telecomunicações de distintas partes do mundo: Rússia, Ucrânia, Bielorússia e agora Mongólia.

Este grupo de cibercriminosos infetava os ficheiros com um vírus conhecido como RoyalRoad, que descarrega um ficheiro na pasta de arranque do Word para levar a cabo uma “técnica de persistência”, que consiste em cada vez que se inicia esta aplicação, inicia-se uma cadeia de infeção de todos os ficheiros com extensão WLL. Assim, independentemente do ficheiro que se abra no Word, produz-se um download de malware que infecta o equipamento do utilizador e permite aceder e roubar grandes quantidades de informação sensível.

Por outra parte, o cibercriminoso que se encontra por trás deste ciberataque operava num servidor C&C dentro de uma janela diária limitada, pondo-se online somente umas poucas horas a cada dia, o que torna mais difícil analisar e aceder às partes avançadas da cadeia de infeção. Isto demonstra como os cibercriminosos aproveitam as mais variadas temáticas para lançar campanhas massivas de ciberataques. Neste momento, a Check Point já referenciou mais de 4000 domínios relacionados com o Coronavirus em todo o mundo, e destes domínios cerca de metade estão a ser usados para fins maliciosos com um impacto maior que média dos ciberataques.

“O COVID-19 não representa somente uma ameaça física, como também uma ciberameaça. Neste sentido, a nossa investigação desmascara o grupo chinês de APT que se aproveitou do interesse público sobre tudo o que seja relacionado com o Coronavirus para benefício próprio, decidindo assim usar para criar uma nova cadeia de infeções informáticas”. Refere Lotem Finkelsteen, Head of Threat Intelligence da Check Point. “Também descobrimos que este grupo não só estava a atacar a Mongólia, como também outros países. Daí, que a Check Point já avisou todos os organismos públicos e de telecomunicações a nível mundial para protegerem os seus documentos e sites web que estejam relacionados com o Coronavirus”, acrescenta.

Check Also

Xencelabs apresenta o primeiro Pen Display OLED 4K de 16 polegadas do mercado

Xencelabs, empresa especializada em ferramentas de desenho digital para potenciar a expressão artística e a …

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.