GAMEFISH
O GAMEFISH é uma ameaça de malware que também é conhecida como Downrage. O GAMEFISH é uma das muitas ferramentas de hackers que são usadas pelo APT28, uma Ameaça Persistente Avançada, também conhecida como 'Fancy Bear'. Este APT é um grupo de hackers que tem sido responsável por inúmeros ataques de alto perfil. O Fancy Bear está ativo desde pelo menos 2004, e o GAMEFISH é apenas uma das muitas ferramentas de hacking que esse grupo usa como parte de seus ataques. É muito provável que o APT usando o GAMEFISH esteja ligado ao governo russo e possa estar realizando ataques de malware patrocinados pelo estado. Essa especulação se deve ao fato de que a maioria dos alvos do Fancy Bear, especialmente aqueles alvejados com o GAMEFISH nos últimos anos, se alinham diretamente com os interesses políticos russos. As campanhas de malware que envolvem o GAMEFISH têm como alvo várias entidades políticas de alto nível, usadas para interferir em eleições em vários países, como França e Ucrânia, especialmente.
Índice
A Ferramenta de Hackeamento GAMEFISH
Os ataques envolvendo o GAMEFISH têm múltiplos estágios, geralmente. A ferramenta GAMEFISH é usada como o primeiro estágio da campanha de malware. O principal objetivo do GAMEFISH é coletar informações sobre o PC infectado e sua rede e, em seguida, encaminhar essas informações para os atacantes que estiverem operando o GAMEFISH. O GAMEFISH pode receber comandos e executar tarefas no computador infectado. Esses comandos geralmente são usados para instruir o GAMEFISH a fazer o download de uma carga útil secundária, outra ameaça de malware que é usada para realizar um ataque mais especializado. O GAMEFISH também pode ser usado para alterar configurações no computador infectado para tornar a carga útil secundária mais eficaz ou permitir que os criminosos coletem informações suficientes para determinar qual carga útil secundária será mais eficaz. Numerosas cargas secundárias diferentes foram associadas ao GAMEFISH. Alguns exemplos incluem Trojans como Downdelph, Usbstealer, Xagent e Xtunnel, todos conhecidos como ferramentas de hacking que foram vinculadas às campanhas do Fancy Tool.
O Potencial do GAMEFISH para Ataques Futuros
O ataque do GAMEFISH é eficaz, e não há razão para acreditar que os criminosos não continuarão a usá-lo como parte de seus ataques no futuro. A Fancy Bear atualiza suas ferramentas de hackers regularmente para ficar um passo à frente dos pesquisadores de segurança do PC em todos os momentos. Um problema muitas vezes esquecido com malware como o GAMEFISH é que essas ferramentas de hackers muitas vezes caem nas mãos de outros grupos, uma vez que se tornaram um pouco desatualizados pelo próprio desenvolvimento interno da APT, tornando o ecossistema global de malware mais ameaçador. Os ataques atuais ao GAMEFISH usaram dois exploits conhecidos, o CVE-2017-0262, e o CVE-2017-0263 para realizar seus ataques. Uma vez que o computador da vítima foi comprometido, o GAMEFISH foi entregue em um arquivo de 30 KB. Normalmente, os arquivos GAMEFISH eram disfarçados como documentos do Microsoft Office e geralmente exibiam documentos enganosos para enganar a vítima, ignorando o ataque GAMEFISH que ocorria em segundo plano.
Estabelecendo Proteções contra o GAMEFISH e o APT28
Se o GAMEFISH for detectado em uma rede, será importante revisar todos os possíveis pontos de entrada e garantir que todas as senhas e medidas de autenticação sejam protegidas. Também é importante usar um software de segurança forte e totalmente atualizado para remover qualquer malware que possa ter sido inserido como resultado do GAMEFISH. Como o objetivo principal do GAMEFISH é freqüentemente alterar as configurações do sistema para tornar as cargas úteis secundárias mais eficazes, é importante verificar todas as configurações e computadores para alterações não autorizadas, além da remoção do próprio GAMEFISH.
