Grupo Falcões do Deserto na origem de ciberataques globais

A Kaspersky Lab alerta para a existência daquele que acredita ser o primeiro grupo com proveniência árabe a desenvolver ataques online por todo o mundo. Os Falcões do Deserto estarão ativos há cerca de dois anos e utilizam mensagens de phishing.

Falcões do Deserto é o nome utilizado para designar um grupo de cibercriminosos com origem árabe e que, de acordo com os analistas da Kaspersky Lab, deverá ser o primeiro desta região a preparar ataques a uma escala global. Estes ataques não têm como objetivo somente espalhar mensagens maliciosas mas também levar a cabo operações de ciberespionagem.

Os ataques realizados por este grupo apoiam-se em técnicas mais sofisticadas comparativamente a outros reportados recentemente. Os Falcões do Deserto utilizam o método de phishing para difundir os anexos ou ficheiros maliciosos através de mensagens em redes sociais ou chats em que os utilizadores são levados a crer que os documentos são, de facto, legítimos.

Os ficheiros aparentam ser legítimos devido a uma estratégia utilizada que permite substituir a extensão reconhecida como sendo maliciosa por outra que seja vista como inofensiva como é o caso de documentos pdf. Este método tem uma taxa de eficácia relativamente elevada e, com estas mensagens, o grupo começou a sua campanha de crime cibernético.

A Kaspersky Lab explica que, após a infeção bem sucedida, os Falcões do Deserto têm ao seu dispor dois tipos diferentes de backdoors. O mais utilizado é o Trojan Falcões do Deserto mas o grupo também tem usado o DHS Backdoor. Ambos permitem o controlo remoto dos equipamentos por parte dos hackers e os dois parecem ter sido criados de raíz pelo grupo, de acordo com os analistas da Kaspersky Lab.

Este controlo remoto permite a captação de imagens do ecrã, premir teclas, recolher dados sobre os documentos Word e Excel e roubar passwords no registo do sistema, entre outras atividades maliciosas. A equipa de especialistas alerta também para a possibilidade destes malwares serem capazes de aceder a chamadas móveis e a mensagens de dispositivos Android.

Os alvos estão espalhados pelos quatro cantos do mundo, tendo sido registadas ocorrências no Qatar, KSA (Arábia Saudita), Emirados Árabes Unidos, Argélia, Líbano, Noruega, Turquia, Suécia, França, Reino Unido, Rússia, entre outros países, mas, ainda assim, com especial incidência no Egito, Palestina, Israel e Jordânia. Os Falcões do Deserto já deverão ter atacado mais de três mil vítimas em mais de 50 países, o que resultou em mais de um milhão de ficheiros roubados. Entidades governamentais, organizações militares, instituições de saúde ou educação são algumas das vítimas.

Dmitry Bestúzhev, perito em segurança da Kaspersky Lab, em comunicado, afirmou que “com o uso de mensagens de email de phishing, engenharia social e ferramentas e backdoors, os Falcões do Deserto foram capazes de infetar centenas de vítimas sensíveis e importantes da região do Médio Oriente, através dos seus sistemas informáticos ou dispositivos móveis e extrair dados sensíveis.”

De acordo com a Kaspersky Lab, este grupo estará ativo há pelo menos dois anos, tendo iniciado as suas operações em 2011, com atividades mais intensas no início de 2015.