ArtraDownloader
O BITTER é um APT (Ameaça Persistente Avançada) que está ativo desde 2015. Os especialistas acreditam que o grupo de hackers BITTER provavelmente tenha origem no sul da Ásia, já que a maioria de suas vítimas está concentrada na região - a maioria dos ataques parece ser de organizações localizadas em China e Paquistão. Desde que começou a operar em 2015, o BITTER APT tem usado um Trojan Downloader principal - o ArtraDownloader. Naturalmente, para permanecer relevante, o grupo de hackers BITTER teve que introduzir uma série de atualizações para o ArtraDownloader ao longo dos anos. A última variante do ArtraDownloader tem algumas capacidades impressionantes quando se trata de técnicas de autopreservação. Este Trojan Downloader pode burlar o software de segurança com sucesso, bem como detectar e evitar ambientes de caixa de areia. O ArtraDownloader também pode servir como backdoor para os atacantes plantarem malware adicional no host comprometido. O grupo de hackers BITTER combina frequentemente duas ferramentas principais em suas campanhas - o ArtraDownloader e o BitterRAT (Trojan de Acesso Remoto).
Métodos de Propagação
Um dos métodos de propagação empregados pelo BITTER APT são os e-mails de spam clássicos que contêm um anexo com macro. Outro truque simples que os membros da BITTER usam é a chamada "extensão dupla". Por exemplo, eles podem solicitar que os usuários baixem um arquivo chamado 'PAF Webmail Security Report.doc.exe' - isso apareceria como 'PAF Webmail Security Report.doc' na maioria dos computadores, já que o Windows está configurado para ocultar extensões de arquivo por padrão. Isso pode deixar os usuários com a impressão de que eles estão prestes a visualizar um documento do Microsoft Word, mas iniciam inadvertidamente um arquivo executável potencialmente prejudicial.
Atividades Ameaçadoras
Quando o ArtraDownloader se infiltra em um sistema, ele começará a verificar a presença de qualquer software, o que pode estar relacionado à depuração de malware. Se o teste voltar negativo, o ArtraDownloader estabelecerá uma conexão com o servidor C&C (Comando e Controle) de seus operadores. Através dessa conexão, o ArtraDownloader receberá a carga útil, que será implantada na máquina infectada. A carga útil ameaçadora do ArtraDownloader parece estar hospedada em sites legítimos que pertencem a cidadãos chineses ou paquistaneses. É provável que o BITTER APT tenha se infiltrado nessas páginas legítimas para usá-las em seus próprios meios. Nestes últimos ataques, parece que o ArtraDownloader trabalha em uníssono com vários RATs diferentes.
Para reduzir as chances de se tornar uma das vítimas do ArtraDownloader, você deve sempre manter todos os seus softwares atualizados. E não se esqueça de baixar e instalar um pacote de software antivírus confiável, que manterá seu sistema seguro.
