WindShift APT

A maioria dos grupos de hackers que foram listados como APTs (ameaças persistentes avançadas) foram rastreados e bem documentados pelos pesquisadores de malware. Os especialistas em segurança cibernética tendem a conhecer tudo sobre o arsenal de ferramentas, infraestrutura e alvos preferenciais de certos grupos de hackers. No entanto, existem alguns grupos de hackers que enfatizam o sigilo e operam tão silenciosamente que os analistas de malware mal conseguem coletar dados sobre eles. Um exemplo disso é o WindShift APT. Segundo os pesquisadores, o WindShift APT está em operação desde 2017.

A maioria das campanhas do WindShift APT são operações de reconhecimento. Em vez de atingir grandes corporações, organizações políticas ou órgãos governamentais, como a maioria dos APTs, o grupo de hackers WindShift parece perseguir indivíduos em particular que eles escolheram especificamente. Curiosamente, os especialistas em segurança cibernética ainda não encontraram um vínculo entre os indivíduos que foram vítimas do WindShift APT. Além disso, em vez de depender exclusivamente ou principalmente de malware para obter as informações que eles procuram, o grupo de hackers WindShift prefere usar truques complexos de engenharia social para obter os dados que está procurando.

Como o grupo de hackers WindShift depende de furtividade, ele é capaz de realizar suas operações por períodos prolongados, com alguns deles durando meses. Especialistas relatam que alguns dos alvos do WindShift APT foram observados por vários meses antes do grupo de hackers tomar qualquer ação. Para fazer isso, o WindShift APT desenvolveu uma rede de contas de mídia social falsas, conversas sobre temas relacionados às vítimas e publicações falsas com conteúdo envolvente. Para analisar ainda mais o alvo, sabe-se que o grupo de hackers WindShift usa várias ferramentas analíticas que o ajudam a estudar os indivíduos, seus hábitos de navegação e interesses. O WindShift APT é conhecido por usar ferramentas publicamente disponíveis e utilitários personalizados. Para ganhar a confiança do alvo e ver com que conteúdo ele deseja se envolver, o grupo de hackers WindShift enviaria links do usuário para páginas da Web legítimas.

Depois que o grupo de hackers obtiver dados suficientes em seu destino, ele tentará coletar as credenciais de login do usuário. Sabe-se que os invasores usam o Apple iCloud, Gmail e outras plataformas para esse fim. Os usuários-alvo receberiam um email ou uma mensagem de texto que os recomendaria que redefinissem sua senha por meio de uma página de recuperação falsa. Se o usuário não se interessar por esse truque, o WindShift APT está preparado para utilizar várias ferramentas de hackers para obter as informações confidenciais que está buscando. Além das ferramentas públicas, o grupo de hackers WindShift também usa várias ameaças personalizadas:

• WindDrop – A Trojan downloader designed for Windows systems, which was first spotted in 2018.
• WindTail – A malware designed for OSX systems, which collects specific filetypes or files that have certain names that fit its criteria. It also is capable of planting additional malware on the compromised system.
• WindTape – A backdoor Trojan designed for OSX systems that is able to take screenshots.

O WindShift APT é definitivamente um grupo de hackers incomum, que tem uma abordagem diferente de seus alvos em comparação com a maioria dos APTs. A forte dependência de técnicas de engenharia social combinada ao fato de que a maioria de suas ferramentas são exclusivamente compatíveis com OSX torna esse grupo de hackers um caso bastante incomum que os analistas de malware ainda precisam entender completamente.