Uma Nova Versão de Malware Rasga os Véus da Obscuridade
Quando os pesquisadores da Kaspersky Lab derrubaram a máscara bem guardada do kit de malware Flame em 2012, os atores por trás dela rapidamente acionaram o módulo de kill embutido da ameaça e eliminaram os cerca de 80 servidores de comando e controle associados à face do malware. a terra, efetivamente marcando o fim prematuro do kit de ferramentas. Ou então pensamos. Para especialistas em AV trabalhando na Chronicle Security, a divisão de segurança cibernética da Alphabet acaba de encontrar uma nova versão do Flame presumivelmente ativa entre 2014 e 2016. As descobertas da Chronicle mostram que a Flame não morreu em 2012 nem parou de funcionar para sempre.
Índice
Pesquisando o Antigo Malware com Novas Ferramentas
Para encontrar o Flame 2.0, os pesquisadores do Chronicle, Juan-Andres Guerrero-Saade e Silas Cutler, aproveitaram a ferramenta de pesquisa de malware YARA, por um lado, e o repositório de malware do VirusTotal, por outro. Eles criaram regras do YARA e definiram parâmetros para varrer toneladas de códigos maliciosos armazenados no VirusTotal em busca de amostras enviadas recentemente, cujo código é semelhante ao do malware Flame original. A consulta retrospectiva valeu a pena, pois rendeu uma correspondência, ou seja, um lote de arquivos criado no início de 2014 e depois enviado para o VirusTotal em 2016. Por incrível que pareça, nenhuma solução antivírus havia sinalizado os dados como potencialmente perigosos. Isso significa que o Flame 2.0 possui mecanismos de anti-detecção aprimorados ou, como sua contraparte original, explora vulnerabilidades desconhecidas de dia-zero, ou ambos.
Quais São os Recursos do Flame 2.0?
Como a criptografia do Flame 2.0 parece estar anos-luz à frente em comparação com a do seu antecessor, a comunidade de segurança em todo o mundo ainda precisa unir forças para quebrar o código em pedaços. Portanto, a funcionalidade completa do novo kit é uma incógnita. Se a natureza multi-modular do primeiro kit de malware Flame é algo que deve ser feito, no entanto, podemos fazer uma suposição para ver uma grande variedade de recursos, incluindo, mas não limitados a:
- Um scanner de tráfego de rede para recuperar as credenciais de login do administrador que dão aos intrusos privilégios de alto nível para toda a rede local
- Um módulo de veículo de transporte (conhecido como Viper / Wiper in Flame 1.0, não deve ser confundido com o malware Viper / Wiper cujo único propósito é apagar dados) para mover os dados coletados para um C & C.
- Um sniffer Bluetooth que explora a função Bluetooth da máquina infectada para roubar números de contato de outros dispositivos Bluetooth próximos.
- Um módulo de captura de tela que permite aos criminosos tirar screenshots e coletar mensagens instantâneas e e-mails do usuário.
- Um gravador de voz (através do microfone do PC) para gravar cada palavra do usuário do PC.
O Flame 1.0 ostentava todos os recursos mencionados acima e alguns, na forma de plugins adicionais que podiam ser ligados e desligados a qualquer momento, por capricho dos atores de malware.
A distribuição geográfica da Flame 2.0 está além dos limites da certeza, por enquanto. Poderia espelhar a do kit de ferramentas original, tendo como alvo indivíduos, empresas, instituições públicas e agências governamentais no Oriente Médio e Norte da África ou seguir seu caminho - uma questão que os pesquisadores ainda precisam resolver.
Busca Retrospectiva Ressuscitando Ameaças Extintas
A abordagem retroativa aplicada na descoberta do Flame 2.0 parece ter alcançado outro avanço. Os pesquisadores da Chronicle associaram o antigo malware Stuxnet ao Flowershop, uma peça maliciosa desenvolvida em 2002. O Flowershop compartilhava não apenas um código semelhante com o Stuxnet, mas também usava os mesmos canais de comunicação entre o servidor(es) de C&C e os PCs alvos. Dificilmente será uma surpresa se futuras investigações encontrarem ligações entre famílias de malware que se pensava não terem nada em comum.