Recentemente a empresa de segurança FireEye relatou que um grupo de Ameaça Persistente Avançada (em inglês APT) estava usando uma nova falha zero-day do Internet Explorer em ataques de phishing com e-mails.
A Microsoft lançou rapidamente um patch para impedir futuras invasões, mas isso não impediu os responsáveis pela Operação Clandestine Fox: Agora o mesmo grupo está usando redes sociais para conseguir vítimas.
Um funcionário de uma empresa do setor de energia recebeu recentemente um e-mail com um arquivo RAR anexado. Este RAR continha um currículo e um software, que um candidato havia feito como portfólio para uma possível vaga de emprego. A candidata havia contatado o funcionário através de uma grande rede social.
O funcionário confirmou que Emily o contatou por intermédio de uma rede social e, ao longo de três semanas trocando mensagens, ela enviou o “currículo” para o e-mail pessoal dele.
Em quase todos os casos como esse, os invasores usam o e-mail pessoal da vítima, ao invés do corporativo. Isto pode ser por conta do projeto do ataque, que visa contornar tecnologias de e-mail mais abrangentes que a maioria das empresas implementa, mas em alguns casos pode ser porque muitas pessoas tem suas contas em redes sociais ligadas ao seu e-mail pessoal.
O arquivo resume.rar continha três documentos: uma versão “falsa” do aplicativo open source TTCalc (uma calculadora matemática para números grandes), um arquivo de texto benigno, cópia do “leiame” do TTCalc, e um PDF benigno do currículo de Emily. O currículo era quase uma copia idêntica de um exemplo disponível em qualquer lugar da internet.
Após a execução, ttcalc.exe solta dois arquivos (listados abaixo), e também uma cópia legítima do TTCalc v0.8.6 como disfarce:
%USERPROFILE%/Application Data/mt.dat
%USERPROFILE%/Start Menu/Programs/Startup/vc.bat
O arquivo mt.dat na verdade é o executável do malware, que a FireEye detectou como sendo Backdoor.APT.CookieCutter. Variantes desta família de backdoor também são chamados de “Pirpi” pela indústria de segurança.
Os invasores se aproveitam de todos os vetores possíveis para estabelecer uma posição nas empresas que têm como alvo. Redes sociais são cada vez mais utilizadas por usuários da internet, tanto por razões pessoais como para negócios, e são mais um alvo de ameaça em potencial que todos precisam ficar atentos.
