Testa a velocidade da tua internet com o

Empresas portuguesas visadas por novo malware espião

27 fev 2013 14:32

Este artigo tem mais de 11 anos

Há entidades governamentais portuguesas visadas por um novo ataque altamente sofisticado, montado para espiar a atividade das vítimas e roubar dados. O ataque tira partido de uma falha no Adobe Reader da Adobe.

Há entidades financeiras portuguesas na lista de empresas visadas por ataques que tiram partido de uma falha de segurança no software Adobe Reader. O malware que aproveita a falha foi identificado pela Kaspersky e batizado como MiniDuke. É descrito pela empresa de segurança como "altamente personalizado" e já terá sido usado para atacar várias empresas e entidades governamentais, em diversos países.

A empresa de segurança detetou ataques a entidades governamentais em Portugal, Ucrânia, Bélgica, Roménia, República Checa e Irlanda. Foram ainda visados pelo ataque um instituto de investigação, uma fundação húngara, um prestador de serviços de saúde nos Estados Unidos e dois grupos de reflexão.

A Kaspersky não fornece detalhes relativamente às entidades afetadas pelo problema. O TeK conseguiu apenas apurar que em Portugal as entidades afetadas pelo problema foram ministérios.

Para desenvolver o ataque foram usadas técnicas de engenharia social avançadas, com o envio de documentos em PDF aos alvos, contendo conteúdos bem trabalhados que transmitiam informação falsa sobre um suposto seminário de direitos humanos, planos de adesão da Ucrânia à NATO e informações sobre a política externa daquele país.

O documento transmitia código malicioso através de um exploit que tira partido de uma vulnerabilidade nas versões 9, 10 e 11 do Adobe Reader, contornando os sistemas sandbox.

O ataque concretiza-se com a instalação de código e de uma backdoor no disco da vítima. Quando o PC afetado arranca, o malware é ativado e são desencadeados um conjunto de cálculos que permitem apurar a informação que identifica cada máquina e usá-la para encriptar as suas comunicações. O programa foi ainda desenhado para se esconder quando algum dos indicadores que o podem denunciar é identificado.

Se conseguir agir sem problemas e se a vítima corresponder aos requisitos predefinidos, o programa vai procurar tweets em contas pré-configuradas, criadas pelos atacantes, com URLs que criam a ligação aos servidores de comando e controlo e permitem fazer o download de uma nova backdoor que executa uma série de ações como copiar ficheiros, interromper processos ou executar novo malware.

A Kaspersky garante que os promotores do MiniDuke continuam ativos e até há pouco tempo continuavam a criar malware. A empresa também sublinha que este tipo de malware de elite era comum há alguns anos atrás e revelou-se muito eficaz nos seus objetivos, capaz de criar vírus altamente complexos.

Combinar esta receita com novas técnicas e esquemas de engenharia social inteligente para "comprometer alvos de elevado perfil é extremamente perigoso", alerta a empresa.