Um novo esquema de ciberataques denominado “Lobo Sangrento” vem impactando diversas organizações no Cazaquistão através da disseminação do malware conhecido como STRRAT, também apelidado de Strigoi Master. Esse programa malicioso, comercializado na internet obscura por aproximadamente 80 dólares, possibilita aos cibercriminosos dominar sistemas de computador empresariais e capturar informações sensíveis.
A técnica de infiltração adotada pelo grupo envolve o uso de emails de phishing que simulam ser comunicações oficiais do Ministério das Finanças da República do Cazaquistão, entre outras entidades, enganando destinatários a abrirem anexos em formato PDF que carregam conteúdo malicioso.
Os documentos anexados exibem uma notificação de descumprimento normativo e contêm links que direcionam para um arquivo mal-intencionado com extensão JAR e um manual para a instalação do interpretador Java, ferramenta necessária para a ativação do malware. Para agregar maior veracidade ao golpe, um dos links leva a uma página web que parece estar vinculada ao portal governamental do Cazaquistão, onde é sugerida a instalação do Java como parte do processo para assegurar a funcionalidade do site.
Uma vez instalado, o STRRAT estabelece sua permanência no computador host por meio de ajustes no Registro Windows e agenda a execução do arquivo JAR em intervalos de 30 minutos. Para reforçar sua presença, uma cópia do arquivo também é transferida para a pasta de inicialização do Windows, garantindo sua ativação após cada reinício do sistema.
Após a comprometimento do dispositivo, o malware passa a extrair e enviar informações confidenciais do computador infectado para um servidor Pastebin. Dados coletados podem incluir especificações sobre a versão do sistema operacional, informações sobre softwares de segurança em uso, bem como credenciais salvas nos navegadores Google Chrome, Mozilla Firefox, Internet Explorer ou nos aplicativos de correio eletrônico Foxmail, Outlook e Thunderbird.
O STRRAT também foi desenvolvido para cumprir comandos remotos que podem instruir o download e execução de novos malwares, capturar sequências de teclas digitadas, executar instruções via cmd.exe ou PowerShell, além de reiniciar ou desligar a máquina afetada, instalar um servidor proxy ou até mesmo autocancelar sua operação.
De acordo com a análise do fornecedor de segurança cibernética BI.ZONE, estratégias como a escolha de formatos de arquivo menos usuais, tais como o JAR, e a utilização de serviços web legítimos como o Pastebin para comunicação com as máquinas comprometidas, permitem que os infratores evitem ser detectados por soluções convencionais de segurança de rede.
Acompanhe o TecMania para se manter atualizado sobre as últimas notícias de segurança cibernética e proteja-se de ameaças como o Lobo Sangrento e outros vectores de ataque online.
