Microsoft e Trend Micro identificaram novas ferramentas de ataque empregadas por um grupo de invasores contra alvos no Vietnã. Empresas descrevem técnicas usadas para despistar profissionais de segurança. Simon Stratford/Freeimages Especialistas em segurança da Microsoft e da Trend Micro detalharam novas técnicas de ataque usadas por um grupo de espiões digitais que vêm atuando contra alvos no Vietnã. A Microsoft apontou que esses invasores podem instalar mineradores de criptomoeda para despistar os times de segurança das organizações, enquanto a Trend Micro analisou um software espião para macOS que se disfarça de documento do Word. Embora cada empresa tenha divulgado um relatório próprio sobre suas descobertas e não haja indício de colaboração entre elas, ambas mencionaram que as técnicas foram empregadas pelo grupo de invasores conhecido como "APT32". A Trend Micro usa o codinome "OceanLotus" para descrever esse grupo, enquanto a Microsoft se refere a eles como "Bismuth". Outra semelhança entre os casos descritos pela Microsoft e pela Trend Micro está nos alvos atingidos: organizações no Vietnã. Fora disso, contudo, os casos são muito diferentes. A Microsoft estudou um ataque que atingiu computadores com Windows, utilizando uma série de técnicas específicas para ocultar a atividade dos invasores nesse sistema operacional. A Trend Micro, por sua vez, detalhou o funcionamento de um programa espião para o macOS, da Apple. No macOS, invasores se aproveitam de extensão falsa O ataque identificado pela Trend Micro utilizou um truque para esconder um programa malicioso de macOS em um suposto documento do Microsoft Word. Os espiões se aproveitaram de uma particularidade técnica na maneira que computadores processam texto para fazer com que um arquivo ".doc", que normalmente seria aberto pelo Word, fosse executado como um programa. Embora o arquivo pareça ter a extensão ".doc", ele na realidade possui um caractere invisível que faz com que o sistema não reconheça a extensão visível para o usuário. Como o macOS não reconhece a extensão, o arquivo passa a ser aberto pelo interpretador de comandos do sistema – na prática, o arquivo se transforma em um programa. Para completar o disfarce, os criminosos injetaram um ícone falso no programa, deixando-o com a mesma aparência de um documento de Word. Após ser executado, o programa instala o software espião no sistema e então abre um arquivo do Word para que a vítima não suspeite que foi alvo de um ataque. Apesar da engenhosidade desse truque, ele pode ser facilmente replicado por outros invasores – o que significa que usuários precisam ter muito cuidado ao abrir arquivos aparentemente benignos. Minerador de criptomoeda para despistar técnicos O ataque contra Windows descrito pela Microsoft utiliza uma série de técnicas conhecidas para se ocultar no sistema, em especial a execução por "dentro" de programas conhecidos, inclusive o próprio antivírus Defender incluído no Windows. Ou seja, mesmo que a vítima confira o "Gerenciador de Tarefas" do Windows – que mostra os programas em execução –, ela não suspeitará da presença do vírus. No entanto, os especialistas da empresa chamaram atenção para outro detalhe: a instalação de um minerador de criptomoeda. Mineradores de criptomoeda se aproveitam do poder de processamento do computador invadido para contribuir com a mineração de criptomoeda em benefício do invasor. Na prática, eles conseguem transformar o poder de processamento e a energia elétrica da vítima em um benefício financeiro para o invasor. Como esses ataques são muito comuns, a Microsoft acredita que o objetivo dos invasores é despistar os técnicos que estiverem investigando esses ataques. Segundo essa hipótese, os times responsáveis pela análise da invasão considerariam que o ataque é de baixa sofisticação – uma invasão "corriqueira" – após encontrar um programa malicioso com esse tipo de característica. Induzindo os profissionais ao erro, o programa de espionagem poderia evitar uma investigação mais aprofundada. Na pior das hipóteses, a organização atacada poderia não perceber que seus dados foram roubados pelo software espião. A Microsoft recomenda que as instituições levem isso em conta ao investigar ataques e códigos maliciosos encontrados em seus computadores. Quem é o 'OceanLotus' Ativo pelo menos desde 2012, o grupo que a Trend Micro chama de "OceanLotus" também já foi chamado de "SeaLotus" e de "Cobalt Kitty" no passado. O nome "Cobalt Kitty" é uma derivação de um software comercial destinado a equipes que realizam testes de invasão e que já foi utilizado por esses invasores – eles são conhecidos por misturar ferramentas comerciais e próprias em suas ações. O nome "Bismuth" (bismuto), adotado pela Microsoft, segue o padrão da fabricante do Windows de batizar os grupos de espiões digitais com nomes de elementos químicos. De acordo com a Microsoft, esse grupo redige e-mails sob medida para as vítimas e até se corresponde com elas para criar um vínculo de confiança antes de enviar os arquivos maliciosos que darão início à invasão e, por sua vez, a captura de dados da rede do alvo. Pela forma de atuação, é considerado um grupo de "ameaça avançada". Ataques do OceanLotus já foram registrados contra empresas privadas e instituições governamentais. Recentemente, a consultoria Recorded Future detalhou um ataque realizado contra o governo do Camboja. Especialistas já vincularam as atividades desse grupo aos interesses do Vietnã, levantando inclusive a hipótese de que os responsáveis por essas ações seriam financiados pelo governo vietnamita. Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com Vídeos: tudo sobre segurança digital