Topinambour

O Turla APT (Ameaça Persistente Avançada) é um grupo de hackers que parece estar ativo desde 2008. Esse APT está vinculado ao governo russo e provavelmente está sendo patrocinado por eles, pois esse grupo de hackers altamente qualificados provou ser útil em promover os interesses do Kremlin. Recentemente, o Turla APT adicionou uma nova ferramenta de hackers ao seu rico arsenal - o dropper Topinambour Trojan. Nas campanhas, o malware Topinambour não é o ator principal, mas serve como backdoor para permitir ameaças adicionais e mais sofisticadas ao sistema comprometido.

Método de Propagação

Parece que o método de propagação escolhido pelo grupo de hackers Turla é por meio de instaladores legítimos de programas, que carregam a carga útil do Topinambour. Depois que o usuário instalar o software desejado, ele será executado normalmente e, portanto, a atividade ameaçadora que ocorreu por trás das cortinas permanecerá sob o radar da vítima. É provável que o grupo de hackers Turla tenha configurado páginas da Web fraudulentas nas quais hospedariam esses instaladores infectados. Amostras do Trojan Topinambour também foram encontradas incorporadas em versões piratas de suítes de software populares, bem como em ativadores ilícitos de produtos como o Microsoft Office.

Instalações do WordPress Seqüestradas

Assim que o dropper Topinambour penetrar em um sistema, ele procurará estabelecer contato com os servidores de C&C (Comando e Controle) dos atacantes. Então, ele ficará baixo e aguardará comandos silenciosamente. Os servidores de Comando e Controle usados pelos atacantes parecem ser instalações do WordPress das quais eles assumiram o controle com sucesso. Dessa forma, as vítimas não suspeitas podem acabar tendo seus servidores usados para operar o Trojan Topinambour.

Eliminando Malware Adicional

Como mencionamos, o malware Topinambour é usado como uma carga útil de primeiro estágio, e seu objetivo é permitir o acesso a outras ferramentas de hackers ao host comprometido. Os especialistas em malware detectaram que entre essas outras ferramentas está o Trojan JavaScript do KopiLuwak, entre várias outras versões do Trojan. O Trojan JavaScript do KopiLuwak pode ser usado para:

• Tirar screenshots.
• Coletar arquivos.
• Plantar mais malware.
• Executar comandos remotos.
• Reunir informações do sistema.

O grupo de hackers Turla é um APT muito bem equipado. No entanto, como ele tende a ser usado para promover os objetivos políticos do governo russo, ele não visa usuários regulares, mas objetivos de alto nível, como funcionários estrangeiros ou grandes corporações. No entanto, é crucial que você instale um aplicativo anti-vírus respeitável, pois existem inúmeras outras ameaças à espreita na Internet, que estão apenas aguardando que um usuário despreparado e desprotegido apareça em seu domínio.