O Novo Malware StoneDrill Substitui o Shamoon e Traz Outros Recursos Perigosos
Enquanto explorava uma nova campanha devastadora da segunda e mais poderosa versão do Shamoon no final de 2016, pesquisadores da empresa de segurança Kaspersky descobriram outra ameaça de malware que se assemelha muito ao estilo e à criação do Shamoon, mas ao mesmo tempo parece muito diferente e muito Mais sofisticado. O novo malware se chama StoneDrill e é outro tipo de limpador de aplicativo malicioso que pode destruir completamente o computador infectado. O StoneDrill parece muito mais perigoso que o Shamoon e o Shamoon 2, pois adicionou recursos que lhe permitem escapar da detecção por programas antivírus e realizar espionagem cibernética.
Os pesquisadores também descobriram que o StoneDrill tem um objetivo na Europa, além dos objetivos no Oriente Médio, o que também o diferencia das duas ameaças similares anteriores. Embora ainda não esteja claro como o StoneDrill se espalha, o fato de tentar encontrar vítimas em um território anteriormente não afetado deve ser um forte sinal de que seus autores têm novos objetivos.
Quando o malware chega ao computador de destino, ele injeta seu código malicioso no processo de memória do navegador preferido da vítima. Enquanto isso, o limpador utiliza duas complicadas técnicas de anti-emulação, através das quais ele consegue escapar de qualquer software de segurança instalado na máquina afetada. Depois disso, o malware começa a destruir tudo o que encontra no disco do computador. Além da função de limpeza, o StoneDrill também inclui um backdoor que pode ser usado para fins de espionagem e que parece ser desenvolvido pelos mesmos escritores de código. Os pesquisadores da Kaspersky descobriram quatro painéis de comando e controle através dos quais e com a ajuda do backdoor os hackers executaram operações de espionagem cibernética. Os alvos dessas operações, bem como seu número, ainda são desconhecidos.
Outra coisa interessante que os pesquisadores descobriram sobre o StoneDrill é que parece estar conectado a vários outros limpadores e casos de espionagem detectados recentemente. O StoneDrill foi descoberto com a ajuda das regras Yara que foram especificamente desenvolvidas para detectar amostras desconhecidas de Shamoon. As duas famílias de malware são muito semelhantes no estilo de programação, mas é claro que o StoneDrill possui seu próprio código malicioso e foi desenvolvido separadamente do Shamoon. O StoneDrill também mostra semelhanças de código com outro malware chamado Charming Kitten, cuja campanha está ativa há alguns anos.
Obviamente, o StoneDrill possui alto poder destrutivo, com o objetivo de impor o maior dano possível aos computadores infectados, embora seu impacto e objetivos exatos ainda sejam desconhecidos. A hipótese mais provável é que Shamoon e StoneDrill provêm de dois grupos diferentes de hackers que, no entanto, estão unidos em ter os mesmos objetivos. Enquanto o Shamoon incorpora o idioma árabe-iêmen em seu código, o StoneDrill possui principalmente seções de recursos no idioma persa. O Irã e o Iêmen são participantes do conflito entre o Irã e a Arábia Saudita, e a maioria dos alvos do Shamoon e StoneDrill estão localizados na Arábia Saudita. Kaspersky também sugere no relatório que os atacantes por trás do StoneDrill poderiam estar conectados a um grupo chamado Newcaster e que existem dados que eles estão localizados no Irã, assim como os hackers por trás da Shamoon.
A boa proteção contra esses tipos de ataques do limpador está mantendo uma estratégia de detecção confiável, pois muitas dessas ameaças de malware dependem de um componente de worm que procura credenciais de logon fracas e, portanto, pode ser detectado através de relatórios centralizados de tentativas de logon com falha.