0
0
Um grupo avançado de hackers de aluguel comprometeu computadores de uma empresa de arquitetura envolvida em projetos imobiliários de luxo no valor de bilhões de dólares americanos.
O grupo realiza operações de espionagem, sendo o vetor de ataque um plugin malicioso para o software Autodesk 3ds Max para criação de computação gráfica 3D profissional.
Selecione os alvos
De acordo com uma investigação da Bitdefender, a vítima não identificada é uma importante empresa que trabalha com incorporadoras imobiliárias de luxo nos Estados Unidos, Reino Unido, Austrália e Omã, que contratam serviços de arquitetos e designers de interiores renomados.
Para esta operação, o ator da ameaça contou com a infraestrutura de comando e controle (C2) na Coreia do Sul, que registrou o tráfego de amostras de malware em vários países (EUA, Coreia do Sul, Japão, África do Sul), sugerindo vítimas selecionadas também nessas regiões.
As evidências descobertas por pesquisadores de segurança apontam para um grupo que fornece serviços sofisticados de hacking para vários clientes que procuram detalhes financeiros internos e negociações sobre contratos de alto valor.
“A sofisticação do ataque revela um grupo estilo APT que tinha conhecimento prévio dos sistemas de segurança da empresa e aplicativos de software usados, planejando cuidadosamente seu ataque para se infiltrar na empresa e exfiltrar dados sem serem detectados” – Bitdefender
Operação cuidadosa
Nesse caso, o vetor de ataque era uma vulnerabilidade que afetava várias versões do Autodesk 3ds Max que permite a execução de código em um sistema Windows.
No início deste mês, a Autodesk alertou que existe um exploit para o utilitário de script MAXScript na forma de um plugin malicioso chamado “PhysXPluginMfx.” Quando carregado no 3ds Max, o plug-in pode infectar outros arquivos MAX, espalhando-se assim para outros usuários na rede.
Ao contrário dos grupos cibercriminosos que buscam ganhos financeiros imediatos, esse agente de ameaça usa malware que coleta detalhes sobre o host comprometido (nome do computador, nome de usuário) e rouba informações confidenciais.
Além de usar ferramentas que fazem capturas de tela e extraem senhas e dados históricos do Google Chrome, o ator também possui malware que rouba arquivos com extensões específicas.
Os pesquisadores do Bitdefender avaliam que o invasor compila este componente de roubo de arquivos para cada vítima para incluir a lista de arquivos que deseja furtar.
Manter uma pequena pegada
Para permanecer sob o radar em uma máquina comprometida, o ator recorreu a um truque interessante que deixava o binário malicioso adormecido se o Gerenciador de Tarefas ou o Monitor de Desempenho estivessem em execução.
Dependendo de quanta área da janela estava visível para esses dois aplicativos, um sinalizador foi definido para instruir o malware a hibernar, reduzindo assim o uso da CPU e colocando-o em uma posição inferior na lista de processos que consomem muita energia.
Na mesma nota, a compactação de arquivo foi empregada apenas para alguns arquivos. Dados que atrairiam atenção desnecessária se arquivados seriam ignorados nesta operação
O relatório do Bitdefender hoje diz que os dados de telemetria mostram que amostras de malware semelhantes contataram o mesmo C2 na Coreia do Sul há menos de um mês.
Embora isso possa ajudar a conectar os pontos com outras operações, não é de forma alguma o início do cronograma de atividades do grupo.
FONTE: BLEEPING COMPUTER