Hackers Glamourosos Enganam Homens do Oriente Médio
'Não fale com estranhos' é algo que dizemos aos nossos filhos com muita frequência, especialmente na era das mídias sociais. Parece que alguns homens adultos podem precisar do mesmo conselho.
Na quarta-feira, os pesquisadores da Avast detalharam um ataque cibernético relativamente simples, mas extremamente inteligente, a jovens de vários países do Oriente Médio, o que mostra que mesmo os adultos precisam ter cuidado ao fazer amigos online. O grupo de hackers por trás dele opera há vários anos e seu objetivo é filtrar informações potencialmente sensíveis com a ajuda de um pedaço de spyware do Android. Por esse motivo, os especialistas acham que estão lidando com um grupo de Ameaça Persistente Avançada (APT) que eles chamaram de Tempting Cedar. O nome fará mais sentido quando você ver os detalhes.
O ataque começa com alguns perfis falsos no Facebook. Os hackers aparentemente roubaram fotos de várias jovens atraentes e criaram contas fictícias que interagiam entre si para tornar a história um pouco mais crível. Então, as "jovens senhoras" se conectariam aos seus alvos e começariam a se comunicar com elas pelo Facebook Messenger. As conversas gradualmente se tornavam mais paqueradoras, e as mulheres inexistentes sugeriam a mudança para outro aplicativo de mensagens instantâneas chamado Kik com o pretexto de manter a comunicação privada.
O Kik é um aplicativo real com cerca de 300 milhões de usuários e promete mais privacidade. Está disponível no Google Play, mas, como você pode imaginar, a gangue Tempting Cedar instaria suas vítimas a fazer o download em um site controlado por elas. Como você também imagina, o Kik messenger baixado pelos alvos estava infectado com spyware. Antes de instalá-lo, as vítimas precisavam modificar as configurações de segurança do Android e permitir instalações de sites de terceiros, que deveriam tê-los avisado. Aparentemente, no entanto, alguns deles estavam preocupados demais pensando no que suas novas amigas tinham para lhes contar durante o bate-papo particular. Esse truque clássico de engenharia social é de onde vem a "tentação" em Tempting Cedar.
O spyware se registraria como um serviço e seria executado a cada inicialização. Ele entraria em contato com os servidores de Comando e Controle (C&C) e implantaria um arsenal de módulos que poderiam fazer qualquer coisa, desde coletar informações do dispositivo (versão do SO, geolocalização, operador de rede etc.) e dados pessoais (registros de chamadas e SMS, contatos) para gravar som através do microfone e adulterar os arquivos no dispositivo.
Depois de analisar as horas ativas e os dados de IP e whois associados à infraestrutura de C&C, os especialistas da Avast disseram que, embora não tenham certeza, estão relativamente confiantes de que os hackers estão sediados no Líbano. É daí que vem a parte "cedro" do nome (um cedro ocupa um lugar de destaque na bandeira nacional libanesa).
A Avast encontrou pelo menos três contas falsas vinculadas ao ataque que foram encerradas. É improvável que os hackers do Tempting Cedar sejam impedidos por isso.
Em janeiro de 2017, as Forças de Defesa de Israel disseram que o mesmo tipo de ataque foi lançado em alguns de seus soldados. Sem dizer como eles fizeram a atribuição, as autoridades de Israel apontaram o dedo para o Hamas e não mencionaram nada sobre o Líbano. Quem é responsável, o modus operandi é tão semelhante que não podemos deixar de pensar que os dois ataques estão ligados de alguma forma. A eficiência brutal combinada com a falta de sofisticação técnica significa que não ficaremos surpresos se virmos mais deles no futuro.