Malware “Grabit” não é sutil nem inteligente, mas está funcionando
O pesquisador da Kaspersky Ido Noar diz que atacantes atingiram centenas de pequenas e médias empresas, roubando credenciais e documentos.
Noar diz que criminosos roubaram cerca de 10.000 documentos de nanotecnologia, educação e empresas de comunicação num ataque do recem descoberto malware chamado de “Grabit”.
“Nossa documentação indica que a operação começou no final de fevereiro de 2015 e terminou em meados de março,” diz Noar em nota.
“À medida que a fase de desenvolvimento supostamente terminou, malware começou a se espalhar a partir de Índia, Estados Unidos e Israel para outros países ao redor do globo.”
“Os autores da ameaça Grabit não utilizam quaisquer subterfúgios ou manobras sofisticadas em sua atividade dinâmica.”
Os atacantes não tiveram muitos esforços para esconder seus servidores de comando e controle, nem esconder do sistema local. Noar descobriu os locais dos servidores simplesmente abrindo o arquivo do phishing Grabit em um editor.
“Durante a nossa pesquisa, análise dinâmica mostrou que a funcionalidade do software malicioso ‘call home’ se comunica através de canais óbvios e não vai muito longe para esconder a sua atividade. Além disso, os arquivos não foram programados para fazer manobras para escondê-los a partir do Windows Explorer “, diz ele.
Os criminosos puderam escolher seu trojan favorito de acesso remoto, incluindo DarkComet e o menos complexo keylogger HawkEye.
Grabit deveria servir como um alerta para os administradores encarregados de proteger as pequenas empresas de que operações de ataques coordenados não se limitam às grandes empresas e organizações.