LABSCON – Scottsdale, Arizona – Um novo agente de ameaças que infectou uma empresa de telecomunicações no Oriente Médio e vários provedores de serviços de Internet e universidades no Oriente Médio e na África é responsável por duas plataformas de malware “extremamente complexas” – mas muito sobre o grupo que permanece envolto em mistério, de acordo com uma nova pesquisa revelada aqui hoje.
Pesquisadores do SentintelLabs, que compartilharam suas descobertas na primeira conferência de segurança LabsCon, nomearam o grupo Metador, com base na frase “Eu sou meta” que aparece no código malicioso e no fato de que as mensagens do servidor são tipicamente em espanhol. Acredita-se que o grupo esteja ativo desde dezembro de 2020, mas voou com sucesso sob o radar nos últimos anos. Juan Andrés Guerrero-Saade, diretor sênior do SentinelLabs, disse que a equipe compartilhou informações sobre o Metador com pesquisadores de outras empresas de segurança e parceiros do governo, mas ninguém sabia nada sobre o grupo.
Os pesquisadores da Guerrero-Saade e do SentinelLabs, Amitai Ben Shushan Ehrlich e Aleksandar Milenkoski, publicaram um no blog e detalhes técnicos sobre as duas plataformas de malware, metaMain e Mafalda, na esperança de encontrar mais vítimas infectadas. “Sabíamos onde eles estavam, não onde estão agora”, disse Guerrero-Saade.
O MetaMain é um backdoor que pode registrar a atividade do mouse e do teclado, capturar capturas de tela e exfiltrar dados e arquivos. Ele também pode ser usado para instalar o Mafalda, uma estrutura altamente modular que fornece aos invasores a capacidade de coletar informações do sistema e da rede e outros recursos adicionais. Tanto o metaMain quanto o Mafalda operam inteiramente na memória e não se instalam no disco rígido do sistema.
Quadrinho político
Acredita-se que o nome do malware tenha sido inspirado em Mafalda, um popular desenho animado em espanhol da Argentina que comenta regularmente sobre temas políticos.
O Metador configurou endereços IP exclusivos para cada vítima, garantindo que, mesmo que um comando e controle seja descoberto, o restante da infraestrutura permaneça operacional. Isso também torna extremamente difícil encontrar outras vítimas. Muitas vezes, quando os pesquisadores descobrem a infraestrutura do ataque, encontram informações pertencentes a várias vítimas – o que ajuda a mapear a extensão das atividades do grupo. Como a Metador mantém suas campanhas-alvo separadas, os pesquisadores têm apenas uma visão limitada das operações da Metador e de que tipo de vítimas o grupo visa.
O que o grupo não parece se importar, no entanto, é se misturar com outros grupos de ataque. A empresa de telecomunicações do Oriente Médio que foi uma das vítimas de Metador já foi comprometida por pelo menos 10 outros grupos de ataque de estados-nação, descobriram os pesquisadores. Muitos dos outros grupos pareciam ser afiliados à China e ao Irã.
Vários grupos de ameaças direcionados ao mesmo sistema às vezes são chamados de “ímãs de ameaças”, pois atraem e hospedam vários grupos e plataformas de malware simultaneamente. Muitos atores do estado-nação dedicam tempo para remover vestígios de infecção por outros grupos, chegando até a corrigir as falhas que os outros grupos usaram, antes de realizar suas próprias atividades de ataque. O fato de o Metador infectar malware em um sistema já comprometido (repetidamente) por outros grupos sugere que o grupo não se importa com o que os outros grupos fariam, disseram os pesquisadores do SentinelLabs.
É possível que a empresa de telecomunicações fosse um alvo de alto valor que o grupo estivesse disposto a correr o risco de detecção, pois a presença de vários grupos no mesmo sistema aumenta a probabilidade de a vítima perceber algo errado.
Shark Attack
Embora o grupo pareça ter muitos recursos – como evidenciado pela complexidade técnica do malware, a segurança operacional avançada do grupo para evitar a detecção e o fato de estar em desenvolvimento ativo – Guerrero-Saade alertou que não era suficiente para determinar que houve envolvimento do Estado-nação. É possível que o Metador seja o produto de um empreiteiro trabalhando em nome de um estado-nação, pois há sinais de que o grupo era altamente profissional, disse Geurrero-Saade. E os membros podem ter experiência anterior em realizar esses tipos de ataques nesse nível, observou ele.
“Consideramos a descoberta de Metador semelhante a uma barbatana de tubarão rompendo a superfície da água”, escreveram os pesquisadores, observando que não têm ideia do que está acontecendo por baixo. “É uma causa de mau presságio que substancia a necessidade do setor de segurança de engenharia proativa para detectar a verdadeira camada superior de agentes de ameaças que atualmente atravessam as redes com impunidade.”
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
