A Check Point Research, em colaboração com a Global Research & Analysis Team (GReAT) da Kaspersky, identificou uma campanha de ciberataques que tem como alvo a comunidade Uigur na China e no Paquistão.

Os investigadores explicam que os atacantes enviam documentos maliciosos que usam a identidade das Nações Unidas (ONU) e de uma fundação humanitária falsa chamada “Turkic Culture and Heritage Foundation”, incitando as vítimas a instalar, sem o seu conhecimento, uma backdoor do Windows que permite espiar os computadores.

Além dos documentos maliciosos enviados por correio eletrónico, a Check Point Research e a Kapersky identificaram outro vetor de ataque: o website da fundação falsa. A página leva os internautas a fazer o download de um scanner de segurança que é na verdade uma backdoor .NET. É depois pedido às vítimas que disponibilizem uma série de informações pessoais que são necessárias à realização de um suposto pedido de subsídio.

Clique na galeria para saber mais detalhes sobre a investigação

Os especialistas indicam que a investigação começou com a descoberta de um ficheiro malicioso chamado “UgyhurApplicationList.docx”. O documento continha o logotipo do Conselho de Direitos Humanos das Nações Unidas (UNHRC) e conteúdo falso de uma assembleia geral das Nações Unidas sobre as violações dos direitos humanos.

Uma análise mais aprofundada levou os investigadores a descobrirem um website relacionado com a “Turkic Culture and Heritage Foundation” que procurava enganar os membros da comunidade Uigur que queriam candidatar-se a um subsídio. Curiosamente, a maior parte do conteúdo do website era copiado da página da Open Society Foundation, uma organização legítima.

A campanha visa atacar a comunidade Uigur ou as organizações que a apoiam. Os dados da Check Point Research e da Kapersky indicam que foram identificadas apenas vítimas no Paquistão e na China, em regiões predominantemente habitadas pelo grupo étnico.

“Acreditamos que [os ataques] tenham como principal motivação a espionagem, sendo o golpe final a instalação de um backdoor nos computadores das personalidades de destaque da comunidade Uigur”, afirma Lotem Finkelsteen, Head of Threat Intelligence da Check Point. “A nossa investigação concluiu que os ataques são delineados para dispositivos infetados por impressão digital, incluindo todos os seus programas em execução. Do que sabemos até agora, os ataques estão a decorrer e está a ser criada uma nova infraestrutura para futuras oportunidades.”

Apesar de não terem encontrado semelhanças de código ou de infraestrutura com algum grupo de cibercriminosos já identificado, os investigadores atribuem esta atividade a um agente malicioso chinês. Ao examinar o documento que iniciou a investigação, foi possível descobrir excertos de código semelhantes ao código VBA que aparece em múltiplos fóruns chineses, suspeitando-se que possa ter sido copiado diretamente.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.