Campanha usa operação na Venezuela para enganar entidades políticas dos EUA
A operação militar orquestrada pelos Estados Unidos para capturar Nicolás Maduro, presidente da Venezuela, é usada por cibercriminosos para distribuir malware. Operação contra Maduro: ataque hacker pode ter causado apagão na Venezuela VPNs e aplicativos de segurança bombam na Venezuela após ações dos EUA Segundo especialistas de segurança, hackers organizaram campanhas de spear phishing para atacar diretamente entidades políticas dos EUA, usando o contexto atual da operação contra Maduro como isca para instalar um backdoor chamado LOTUSLITE em dispositivos governamentais. Pelo que foi observado, o backdoor chega por meio de um arquivo ZIP que contém um DLL malicioso. Como o arquivo é identificado pelo título “EUA decidem agora o que vem a seguir para a Venezuela.zip”, o risco de que a vítima acesse o conteúdo comprometido sem saber da procedência real é ainda maior. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Os pesquisadores não identificaram se a campanha conseguiu ser bem-sucedida em todos os casos, mas a ação foi atribuída ao Mustang Panda, um grupo hacker patrocinado pela China. Entidades políticas dos EUA viram alvo de campanhas que usam operação contra Maduro como isca (Imagem: Reprodução/Freepik). Nos bastidores da campanha A campanha voltada para organizações políticas americanas tem como base a implantação de um backdoor, que é projetado em C++ para conseguir se comunicar com um servidor de C2 que já vem embutido no código. O backdoor se apoia nas APIs WinHTTP do Windows para que o sistema conceda permissões para a realização de tarefas remotas e, consequentemente, exfiltrar dados do dispositivo visado. A ferramenta ainda estabelece persistência pela modificação do Registro do Windows, o que garante que ela seja executada toda vez que o usuário fizer login no sistema. DLL do Windows é explorada por hackers durante campanha (Imagem: Tadas Sar/Unsplash). Para completar a operação maliciosa, o backdoor faz com que a DLL seja executada por meio de um carregamento lateral, mais um passo da campanha para instalar o malware no dispositivo do alvo. O que mais surpreendeu os especialistas é que a tática usada pelos criminosos não apresenta técnicas complexas e nem recursos avançados para comprometer sistemas governamentais. Tudo é feito a partir de ações simples e confiáveis, usando funcionalidades básicas de comando e controle para execução do backdoor. Leia também: Ciberguerra: China intensifica ataques digitais contra Taiwan Ciberataques na Oceania mostram mudança de estratégia de hackers Comissão Comercial dos EUA proíbe GM de vender dados de usuários por 5 anos Leia a matéria no Canaltech.