Zebrocy Go

O Zebrocy Go é um Trojan associado ao Zebrocy APT (Advanced Persistent Threat). Este APT é um grupo criminoso localizado na Rússia que tem sido responsável por inúmeros ataques de malware em grande escala. Este APT uniu forças com o APT28 (também conhecido como Safocy) para realizar ataques coordenados. O Trojan Zebrocy Go se destaca porque foi escrito usando a linguagem de programação do Google Go, apontando para uma incursão em novos tipos de malware, possivelmente para começar a atacar novos computadores e vítimas com esses ataques.

Alvos dos Ataques do Zebrocy Go

O Zebrocy Go é um Trojan Downloader, usado para instalar outros malwares nos computadores das vítimas. Os principais alvos dos ataques do Zebrocy Go parecem ser antigas repúblicas da URSS. Entre 2017 e 2018, os ataques deste APT segmentaram computadores nos seguintes países:

Cazaquistão
Quirguistão
Azerbaijão
Tajiquistão

Desde esses ataques, tem havido uma ampliação dos possíveis alvos desses tipos de ataques, com infecções remontando a este APT aparecendo nos seguintes países:

Catar
Ucrânia
República Checa
Mongólia
Jordânia
Alemanha
Bélgica
Irã
Peru
Armênia
Afeganistão
Coreia do Sul
Turcomenistão
Cazaquistão
Países Baixos
Kuwait
Emirados Árabes Unidos
Espanha
Polônia
Catar
Omã
Suíça
Mongólia
Quirguistão
Reino Unido

O APT responsável pelo Zebrocy Go continua a manter uma presença ativa contra alvos da Ásia Central e uma rede mais ampla de vítimas com significado político. Enquanto seus ataques atuais visam computadores com o sistema operacional Windows, parece que eles estão migrando para malwares que visam outros sistemas operacionais gradualmente.

Como Funciona a Campanha do Zebrocy Go

O Zebrocy Go está sendo distribuído através de anexos de e-mail corrompidos. Esses anexos de arquivos corrompidos assumem a forma de arquivos LNK disfarçados como documentos do Microsoft Office. Quando a vítima tenta abrir o anexo de arquivo, o Zebrocy Go é iniciado, bem como um documento do Microsoft Office destinado a induzir o usuário do computador a ignorar a infecção. O Zebrocy Go foi projetado para se comunicar com um servidor de Comando e Controle, recebendo instruções e cargas úteis para serem entregues ao computador infectado. O Zebrocy Go irá coletar informações sobre o dispositivo infectado e retransmiti-lo aos invasores, permitindo que eles realizem ataques de malware mais eficazes contra seus alvos.

Para Que o Zebrocy Go pode ser Usado?

A carga final do Zebrocy Go possui os seguintes comandos:

SYS_INFO
SCAN_ALL
SCAN_LIST
DOWNLOAD_DAY
DOWNLOAD_LIST
CRIAR PASTA
SUBIR ARQUIVO
FILE_EXECUTE
DELETAR ARQUIVOS
REG_WRITE_VALUE
REG_READ_VALUE
REG_DELETE_VALUE
REG_GET_KEYS_VALUES
REG_DELETE_KEY
KILL_PROCESS
CONFIG
GET_NETWORK
CMD_EXECUTE
DOWNLOAD_DATE
DELETE_FOLDER
UPLOAD_AND_EXECUTE_FILE
SCREENSHOTS
FILE_EXECUTE
SET_HIDDEN_ATTR
COMEÇAR
PARE
KILL_MYSELF

A maioria desses comandos é autoexplicativa. Essencialmente, a campanha Zebrocy Go permite que os invasores tenham acesso ao computador da vítima, manipulem seus dados e instalem outros malwares. O Zebrocy Go também inclui algumas medidas de autoproteção que permitem evitar a detecção e os pesquisadores de segurança do PC que desejam estudar seu código. O Zebrocy Go está sendo usado contra alvos do governo e alvos políticos e econômicos de alto valor principalmente. Por causa disso, usuários de computadores individuais podem não estar vulneráveis a esses ataques, a menos que tenham alguma conexão com um alvo de alto valor. No entanto, as organizações em risco devem se certificar de que tomaram medidas para se proteger dos ataques sofisticados associados aos APTs associados ao Zebrocy Go e a malwares semelhantes, incluindo campanhas de educação e fortes softwares e medidas de segurança.