A Symantec divulgou um alerta sobre um “misterioso grupo responsável por ameaças”. No caso, este grupo está infectando organizações por meio da utilização de geradores maliciosos de chave de licenciamento para software pirata. Segundo a empresa, os afetos se encontram, principalmente, no setor da saúde.
“Um grupo por trás do Trojan Gatak (Trojan.Gatak) continua a representar uma ameaça para as organizações, especialmente no setor de saúde, fortemente impactado pelos ataques”, disse a Symantec. “O Gatak é conhecido por infectar suas vítimas via sites que prometem chaves de licenciamento de produto para software pirata. Inicialmente, o foco estava em alvos nos Estados Unidos, mas, ao longo dos últimos dois anos, foram registrados ataques contra organizações em diversos países”.
O relato indica que 62% das infecções do Gatak acontecem em desktops e notebooks corporativos. Das 20 principais organizações afetadas, 40% eram no setor de saúde. Outro setor que sofreu bastante com o malware foi o de seguros.
Como acontece a infecção
De acordo com a Symantec, a infecção acontece “por meio de sites que oferecem geradores de chave de licenciamento de produtos ou keygens para software pirata. O malware é empacotado com a chave do produto e, se um desses arquivos for aberto, ele se instala no computador”.
Sendo assim, os cibercriminosos preferem focar um programas corporativos, já que as probabilidade de eles estarem em ambientes corporativos são maiores — e é por lá que se encontra o dinheiro. As iscas, segundo a Symantec, são essas listadas aqui embaixo — vale notar que os sistemas usados pelo cibercriminosos para distribuir o malware não têm ligação com os desenvolvedores (ou seja, baixe os arquivos apenas de fontes oficiais):
- SketchList3D (software de design para carpintaria)
- Native Instruments Drumlab (software de engenharia de som)
- BobCAD-CAM (software de manufatura/metalurgia)
- BarTender Enterprise Automation (software de criação de etiquetas e código de barras)
- HDClone (utilitário de clonagem de disco rígido)
- Siemans SIMATIC STEP 7 (software de automação industrial)
- CadSoft Eagle Professional (software de design de placa de circuito impresso)
- PremiumSoft Navicat Premium (software de administração de banco de dados)
- Originlab Originpro (software gráfico para análise de dados)
- Manctl Skanect (software de digitalização 3D)
Symantec System Recovery (software de backup e recuperação de dados; agora parte da Veritas) “As chaves de produto baixadas a partir desses sites não funcionam e simplesmente geram uma sequência pseudoaleatória de caracteres. Isso significa que tudo o que a vítima recebe com o download é um arquivo inútil e uma possível infecção do Gatak”, nota a Symantec.
Técnica e lucro
A companhia também notou que o Gatak tem uma característica notável: o uso de esteganografia, uma técnica para esconder dados dentro de arquivos de imagem.
“Quando instalado, ele tenta baixar um arquivo de imagem PNG de uma série de URLs codificados no malware. A imagem se parece com uma fotografia comum, mas contém uma mensagem criptografada dentro de seus dados de pixel. O Trojan Gatak é capaz de decodificar esta mensagem, que camufla comandos e arquivos para execução”, explicou.
A Symantec também notou que os computadores infectados pelo Gatak ainda, em alguns casos, foram infectados com outros tipos de malware, incluindo diversas variantes de ransomware e o Trojan financeiro Shylock (Trojan.Shylock).
A companhia comenta que não está claro como o Gatak gera lucros. “Uma possibilidade é via venda de informações de identificação pessoal e outros dados roubados, no mercado cibernético clandestino”, explica.
Segundo a Symantec, a dica para driblar o Gatak é bem simples: “mais do que instalar uma solução de segurança robusta, as organizações devem auditar regularmente o software utilizado em sua rede e educar os funcionários sobre os perigos do uso de software pirata ou não aprovado”.
Fonte: TecMundo