A Kaspersky alerta que esta ferramenta maliciosa se dirige a organizações de todo o mundo.
Num relatório recente sobre crimeware, os peritos da Kaspersky descreveram o AdvancedIPSpyware. É uma versão backdoored da ferramenta Advanced IP Scanner utilizada pelos administradores de rede para controlar as redes locais (LANs). A ferramenta maliciosa afetou um vasto público com vítimas na América Latina, África, Europa Ocidental, Ásia do Sul, Austrália, bem como nos países da CEI.
É adicionado um código malicioso ao software benigno para esconder a sua atividade nociva e enganar o utilizador é uma técnica que se tem tornado cada vez mais comum. O que não tem sido visto com tanta frequência é que o binário backdoor e é efetivamente assinado. Este é precisamente o caso do AdvancedIPSpyware, que é uma versão backdoor da ferramenta legítima Advanced IP Scanner utilizada pelos administradores de rede para controlar as LANs.
O certificado com o qual o malware foi assinado foi muito provavelmente roubado. O malware foi alojado em dois sites, cujos domínios são quase idênticos ao site legítimo Advanced IP Scanner, diferindo apenas por um a letra. Além disso, os sites têm o mesmo aspeto. A única diferença é o botão “download gratuito” nos sites maliciosos.
Outra característica invulgar do AdvancedIPSpyware é que a arquitetura é modular. Tipicamente, a arquitetura modular é vista com malware patrocinados por Estados-nação, não do género criminoso. Contudo, neste caso, os ataques não foram visados, o que leva a concluir que AdvancedIPSpyware não se refere a quaisquer campanhas de motivação política.
A campanha AdvancedIPSpyware tem uma vasta vitimologia com utilizadores afetados na América Latina, África, Europa Ocidental, Ásia do Sul, Austrália, bem como nos países da CEI. A contagem global de vítimas infetadas ao longo de toda a campanha é de cerca de 80.
Para além do AdvancedIPSpyware, o relatório do crimeware publicado na Securelist inclui as seguintes conclusões:
• BlackBasta, um grupo de ramsomware descoberto no início de julho de 2022, acrescentou funcionalidades que dificultam a investigação forense e a deteção, pois o malware pode agora propagar-se através da própria rede.
• Os investigadores testemunharam novas características do CLoader, um ladrão descoberto pela primeira vez em abril de 2022. Utilizou jogos modificados e software como isco para enganar os usuários a instalar o malware. Os ficheiros descarregados eram instaladores NSIS, contendo código malicioso no script de instalação.
• Em agosto de 2022, foi descoberta uma campanha que tem estado ativa desde pelo menos Janeiro de 2022 e que se centra em indivíduos de língua chinesa. Num popular canal de língua chinesa do YouTube, centrado no anonimato da Internet, foi carregado um vídeo dando instruções sobre como instalar o navegador Tor. Isto em si não é assim tão estranho, uma vez que o navegador Tor está bloqueado na China. Contudo, se um utilizador clicar no link da descrição, em vez do benigno navegador Tor, é descarregada uma versão infetada do navegador Tor.
“O e-mail é o método de infeção mais comum utilizado tanto por cibercriminosos como por estados nacionais. Desta vez, analisámos técnicas menos comuns utilizadas pelos cibercriminosos – ambas bem conhecidas e que se têm mantido fora de vista. Nomeadamente, o AdvancedIPSpyware destaca-se pela sua arquitetura invulgar, uso de ferramenta legítima, e cópia quase idêntica do website legítimo”, comenta Jornt van der Wiel, especialista em segurança da Kaspersky.
Para saber mais sobre AdvancedIPSpyware e outras descobertas de crimeware, leia o relatório em Securelist.com