CREAMSICLE
O CREAMSICLE é um malware ameaçador associado a ataques contra instituições governamentais na Índia. O CREAMSICLE está vinculado ao APT30 (Ameaça persistente avançada), um grupo de hackers que parece ser patrocinado pelo governo chinês e realiza operações de espionagem. O APT30 ganhou notoriedade porque desenvolveu uma ampla variedade de ameaças avançadas de malware, que incluem o CREAMSICLE, além de vários outros componentes de malware. O governo chinês negou seu envolvimento com o APT30 ou malware como CREAMSICLE, alegando que esses ataques de malware são um problema global e não estão isentos.
Índice
Por que o CREAMSICLE Ataca os Computadores das Vítimas
Os ataques de CREAMSICLE atingiram instituições governamentais localizadas na Índia. Aparentemente, o CREAMSICLE é muito menos sofisticado do que outras ameaças de malware desenvolvidas pelo APT30, mas, no entanto, seu ataque tem sido altamente eficaz. O CREAMSICLE, como muitas ameaças de malware, é entregue através do uso de anexos de email na forma de documentos com macros incorporadas que baixam e instalam o CREAMSICLE no computador da vítima. O CREAMSICLE é um Trojan Downloader, uma ameaça projetada para se infiltrar em um computador, anular suas defesas e instalar outro malware. O APT30 usa CREAMSICLE em conjunto com outra ameaça de malware conhecida como MILKMAID. Quando a vítima abre o arquivo corrompido, seus scripts de macro incorporados fazem o download do MILKMAID em segundo plano. Este é um conta-gotas de Trojan, que finge ser uma instância do navegador Firefox. Essa ameaça extrai os arquivos corrompidos associados ao CREAMSICLE, instalando essa ameaça no computador infectado.
Como o CREAMSICLE Realiza o Seu Ataque Depois de Ser Instalado
Após a instalação do CREAMSICLE em um computador, ele fará alterações nas configurações do computador infectado e estabelecerá uma conexão com o servidor de Comando e Controle. Os atacantes responsáveis pelo ataque do CREAMSICLE entrarão em contato com o CREAMSICLE manualmente, inicializando para fornecer uma carga útil específica, que será baixada do servidor de comando e controle. O arquivo baixado não é iniciado imediatamente, para não levantar suspeitas. Em vez disso, o CREAMSICLE altera as configurações de inicialização do computador infectado para garantir que o malware baixado seja iniciado quando o Windows iniciar na próxima vez em que a vítima fizer login no dispositivo infectado.
Os Ataques do APT30 e Campanhas de Malware como o CREAMSICLE
Os principais alvos das campanhas do APT30 que envolvem ameaças como o CREAMSICLE raramente são usuários individuais de computadores, e o CREAMSICLE não é usado aleatoriamente contra o público. Em vez disso, as campanhas que envolvem CREAMSICLE geralmente fazem parte de campanhas de malware altamente focadas, projetadas para se infiltrar em um destino específico. Os alvos escolhidos pela APT30 e possivelmente pelo governo chinês geralmente estão associados às forças armadas, infraestrutura governamental, indústria ou infraestrutura crítica. Esses ataques também visam jornalistas e a mídia. As operações do APT30 são relatadas desde 2005, que crescem constantemente em sofisticação e recursos. Esses ataques envolveram um grande número de ameaças de malware que incluem componentes como MILKMAID, ORANGEADE Droppers, BACKBEND, GEMCUTTER Downloaders e muitos outros, todos desenvolvidos e aprimorados constantemente nos últimos dez anos. Os principais alvos dos ataques do APT30 parecem ser países localizados na Ásia, particularmente no Sudeste Asiático e no Oriente Médio. A seguir, alguns dos países visados por esses ataques:
India
Malaysia
Vietnam
Thailand
South Korea
Nepal
Bhutan
Philippines
Singapore
Saudi Arabia
Indonesia
Japan
Brunei
Myanmar
Laos
Cambodia
O malware CREAMSICLE parece ter sido desenvolvido especificamente para atacar a infraestrutura indiana, embora não exista nada que impeça o APT30 de implantá-lo em alvos em outros locais. Independentemente das conexões claras entre os ataques do APT30 e os interesses chineses, o governo chinês negou sua conexão com o APT30 ou com ataques de malware envolvendo CREAMSICLE e outras ameaças desenvolvidas pelo APT30.
