Primeira campanha de ciberespionagem em português do Brasil é descoberta

Foi descoberta a primeira campanha conhecida de ciberespionagem com o propósito específico de atingir máquinas com versões do Windows em inglês e português do Brasil. A empresa de segurança digital Kaspersky Lab identificou nesta semana o grupo Poseidon, que desde 2005 vende malware (programas com intuito prejudicial) com certificados digitais ilegais para roubar dados das vítimas.

Pelo menos 35 empresas de diferentes tipos --instituições financeiras, governamentais, de telecomunicações, indústrias, energia, serviços, recursos naturais, mídia e relações públicas-- foram identificadas como alvos primários da campanha. Outros países foram atacados anteriormente, como EUA, França, Rússia, Cazaquistão, Índia e Emirados Árabes.

Para contaminar a vítima, eram enviados e-mails de phishing (fraude eletrônica que tentam adquirir dados pessoais e senhas) com arquivos de texto, geralmente com assuntos de recursos humanos, que se abertos injetavam código binário malicioso no sistema. Na fraude havia presença de strings (sequência de códigos) em português do Brasil, confirmando assim o foco em atacar entidades do país.

A tática do grupo era usar o conteúdo roubado para chantagear as vítimas a contratarem o Poseidon como consultores de segurança. Do contrário, os dados seriam usados em uma série de contratos ilegais para beneficiar o grupo.

Credenciais, políticas de gerenciamento de grupo e logs de sistema eram coletados pelo grupo criminoso para aprimorar ataques e garantir a execução do malware. Servidores que executavam os ataques foram encontrados em provedores de internet que atendem navios em alto mar, além de conexões sem fio de operadoras tradicionais.

O relatório completo sobre o ataque pode ser lido aqui (em inglês).