Ataques Miniduke estão de regresso

Paulo Matos,

Os analistas da Kaspersky Lab encontraram novos vestígios do Miniduke em ação (uma ameaça inicialmente descoberta em 2013) em campanhas ativas dirigidas a governos e outras entidades. Além disso, a nova plataforma do Miniduke – denominada BotGenStudio – pode ser utilizada não só por cibercriminosos seguindo o estilo APT, como também por forças da ordem e criminosos tradicionais.

Cyberataque

Depois de aparecer pela primeira vez em 2013, o Miniduke começou a usar outro backdoor personalizado, capaz de roubar vários tipos de informação. O malware simula aplicações populares concebidas para serem executadas em segundo plano, incluindo informação de ficheiro, ícones e inclusive o tamanho do ficheiro.

Os novos backdoor principais do Miniduke (também conhecido como TinyBaron ou CosmicDuke) são compilados, usando um framework personalizável chamado BotGenStudio, que conta com flexibilidade para ativar ou desativar componentes. Os seus componentes dividem-se em três grupos:

1. Persistência – O Miniduke / CosmicDuke é capaz de se iniciar através do programador de tarefas do Windows (Windows Task Scheduler), um serviço binário personalizado que gera um novo processo estabelecido na chave do registo ou que se inicia quando o utilizador deixa o computador e ativa o protetor de ecrã;

2. Reconhecimento – O malware é capaz de roubar uma grande variedade de informação, incluindo os ficheiros, baseando-se em extensões de nome e palavras-chave, como .exe; .NDB; .mp3; .avi; .rar; .docx; .url; .xlsx; .pptx; .PSW; login; administrador; .vpn; .jpg; .TXT; .lnk; .dll.; .tmp, etc. Este backdoor tem muitas outras funções, que incluem keylogger, roubo de passwords do Skype, roubo de informações de rede, capturas de ecrã a cada 5 minutos, roubo de contactos do Microsoft Outlook, roubo de credenciais de acesso ao Google Chrome, entre outras;

3. Extração – O malware utiliza vários métodos para extrair informação, incluindo o upload de dados por FTP e a utilização de três variantes dos mecanismos de comunicação HTTP. A extração de dados armazenados é, aliás, uma das imagens de marca do Miniduke. Enquanto se está a fazer o upload de um ficheiro para um servidor C&C, este divide-se em fragmentos de reduzida dimensão (à volta de 3Kb) que são comprimidos, cifrados e colocados num contentor que é depois guardado no servidor. Se este ficheiro for demasiado grande, pode ser colocado em diferentes contentores guardados de forma independente.

Durante a análise, os especialistas da Kaspersky Lab conseguiram obter uma cópia de um dos servidores C&C do CosmicDuke. Segundo parece, ele não foi usado apenas para a comunicação entre os indivíduos por detrás do CosmicDuke e os equipamentos infetados, como também para outras operações executadas pelos membros do grupo, como a intromissão noutros servidores de Internet com o objetivo de recolher toda a informação que possa facilitar o ataque a potenciais alvos. Para isso, o C&C foi equipado com uma ampla gama de ferramentas de piratagem que procuram vulnerabilidades em websites utilizando diferentes motores.

A Kaspersky Lab analisou tanto os servidores CosmicDuke atuais como os antigos do Miniduke. Destes últimos foi possível extrair uma lista das vítimas e dos seus respetivos países, pelo que os especialistas descobriram que os utilizadores dos servidores antigos do Miniduke estavam a apontar a alvos na Alemanha, Austrália, Bélgica, Espanha, Estados Unidos, França, Holanda, Hungria e Ucrânia. Vítimas de, pelo menos, três destes países eram entidades governamentais.

“É um pouco inesperado. Normalmente, quando ouvimos falar de APT, tendemos a pensar que são campanhas de espionagem a países. Mas encontramos duas explicações para isto. Uma possibilidade é que o BotGenStudio, a plataforma de malware utilizada no Miniduke, também esteja disponível como uma função de espionagem legal, similar a outras, tais como RCS da HackingTeam, amplamente utilizada pela polícia. Outra possibilidade é que simplesmente esteja disponível no mercado negro e tenha sido comprado e usado por vários concorrentes do negócio farmacêutico para se espiarem uns aos outros”, afirma Vitaly Kamluk, analista da equipa GREAT da Kaspersky Lab.