Pesquisadores da Kaspersky Lab identificaram uma nova tendência entre os ciberespiões: o uso de ferramentas open source disponíveis online. Diversas campanhas de ciberespionagem utilizando este tipo de tecnologia foram identificadas pela empresa.

A tendência demonstra que as ferramentas de ataque estão ficando mais eficientes e acessíveis, e também reforça as razões para a crescente queda nos preços praticados para o desenvolvimento de novas técnicas de ciberataque. Isto significa que até grupos de hackers amadores, com poucas habilidades e recursos, podem representar uma real ameaça aos usuários e às empresas. Além disso, essas ferramentas são legítimas e, ao serem utilizadas em testes de penetração, dificultam a detecção dos ataques pelas soluções de segurança.

A ferramenta de exploração de navegadores conhecida como BeEF (Browser Exploitation Framework) é uma delas. Desenvolvida originalmente pela comunidade de segurança para melhorar e facilitar os testes em navegadores, ela está sendo usada pelos grupos de ciberespionagem para atacar vítimas ao redor do mundo.

[awprm urls=https://imasters.com.br/noticia/73-dos-cibercriminosos-procuram-alvos-mais-baratos-revela-pesquisa/,https://imasters.com.br/noticia/cibercriminosos-desenvolvem-primeiro-ransomware-brasileiro/]

Para explorar as vulnerabilidades nos navegadores das vítimas, os hackers injetam o BeEF em sites de seu interesse e ficam aguardando que as vítimas façam o acesso. O conteúdo do BeEF identifica com precisão o sistema e o usuário e permite roubar de credenciais de autenticação que, por sua vez, possibilitam infectar com outro malware o dispositivo atacado. Essa tática de infecção é chamada de “watering hole”, e vem sendo muito usada por ciberespiões.

“Antigamente, vimos grupos de ciberespionagem usando diferentes ferramentas de código aberto e legítimas para testes de penetração, podendo combiná-las com seu próprio malware ou não. A diferença é que agora vemos cada vez mais grupos usando o BeEF como uma alternativa atraente e eficaz.  Isso deve ser considerado pelos departamentos de segurança das empresas para proteger suas organizações desta nova ameaça”, destaca Fabio Assolini, pesquisador sênior de segurança da Kaspersky Lab no Brasil.

O analista destaca ainda que o abuso de ferramentas legítimas em ciberataques também ocorre em golpes desenvolvidos no Brasil. “Vários trojans bancários brasileiros usam ferramentas limpas, como Gmer e Avenger, para remover do sistema infectado os plug-ins de segurança usados nos Internet Bankings. Chamamos isso de ‘fogo amigo’”.

Durante a pesquisa, foi possível identificar dezenas de sites de “watering hole”. A natureza e os temas desses sites oferecem fortes indícios sobre os tipos de alvos destes grupos:

• Revendedor brasileiro de instrumentos musicais
• Embaixada de países do Oriente Médio na Rússia
• Escola militar de tecnologia da Índia
• Escritório regional de um governo
• Espelho de verificação de sistemas de comunicação interna ucranianos
• Agência de apoio à diversificação da educação na União Europeia
• Organização russa de administração de comércio exterior
• Mídia progressista de notícias e política no Cazaquistão
• Organização de notícias turca
• Escola alemã especializada em música
• Organização de controle de qualidade de fábricas têxteis japonesas
• Organização voltada à responsabilidade social e filantropia no Oriente Médio
• Popular blog britânico de “estilo de vida”
• Plataforma de cursos online da Universidade da Argélia
• Grupo de construção chinês
• Empresa matriz e de desenvolvimento de negócios no exterior russa
• Fórum russo de desenvolvedores de jogos
• Desenvolvedor romeno de jogos do Steam
• Vendedor virtual chinês de jogos online