No final do ano passado, pesquisadores da ESET, empresa líder em detecção proativa de ameaças, descobriram que ataques direcionados a empresas aeroespaciais e militares foram ativamente realizados entre setembro e dezembro de 2019 na Europa e no Oriente Médio. O principal objetivo da operação era a espionagem e, em um dos casos, foi feita uma tentativa de monetizar o acesso à conta de e-mail de uma das vítimas por meio de um ataque conhecido como BEC (do inglês Business E-mail Compromise).
A investigação denominada Operação In(ter)ception contou com a colaboração de duas das empresas europeias afetadas, o que permitiu obter informações sobre as técnicas utilizadas e descobrir malware anteriormente não documentado. Para comprometer seus objetivos, os atacantes usaram a engenharia social através do LinkedIn para publicar ofertas de emprego atraentes, mas falsas. “A mensagem era uma oferta de emprego com bastante credibilidade, aparentemente de uma empresa conhecida em um setor relevante. Obviamente, o perfil do LinkedIn era falso e os arquivos enviados dentro da comunicação eram maliciosos”, explica Dominik Breitenbacher, pesquisador de malware da ESET que analisou e liderou a investigação.

Os arquivos maliciosos foram enviados diretamente via mensagens do LinkedIn ou por e-mails contendo um link do OneDrive. Para a última opção, os atacantes criaram contas de e-mail correspondentes aos seus perfis falsos no LinkedIn.

Depois que o destinatário abriu o arquivo, um documento PDF com informações sobre salário relacionadas à oferta de emprego falsa foi exibido. Enquanto isso, o malware era implantado silenciosamente no computador da vítima. Dessa maneira, os infratores estabeleceram uma posição inicial e alcançaram sólida persistência no sistema.

Como a ESET descreve em seu relatório técnico Operação de interceptação: ataques direcionados contra empresas aeroespaciais e militares europeias, após estabelecer o contato inicial, os criminosos implantaram um malware personalizado em vários estágios, juntamente com ferramentas de código aberto modificadas. Além disso, os atacantes usaram táticas conhecidas como \"viver fora do país\" para abusar de ferramentas e funções legítimas do sistema operacional. Várias técnicas foram usadas para evitar a detecção, incluindo assinatura de código, coleta regular de malware e phishing para empresas e softwares legítimos.
\"Os ataques que investigamos mostraram todos os sinais de espionagem, com várias atitudes sugerindo um possível vínculo com o grupo Lazaro. No entanto, nem a análise de malware nem a investigação nos permitiram ter uma ideia de quais arquivos os criminosos estavam alvejando.”, comenta Breitenbacher.
Além da espionagem, os pesquisadores da ESET encontraram evidências de que os atacantes tentaram usar as contas comprometidas para extrair dinheiro de empresas que interagiam com suas vítimas.
Entre os e-mails, eles encontraram comunicação entre uma vítima e um cliente sobre uma fatura não paga. Os criminosos acompanharam a conversa e pediram que o cliente pagasse a conta em sua própria conta bancária. Felizmente, o cliente ficou desconfiado e procurou ajuda da vítima, frustrando a tentativa dos agressores de realizar o ataque.
“Essa tentativa de monetizar o acesso à rede da vítima deve servir como outro motivo para estabelecer fortes defesas contra invasões e fornecer treinamento em segurança de computadores aos funcionários. Essa educação poderia ajudar os funcionários a reconhecer técnicas de engenharia social ainda menos conhecidas, como as usadas na Operação In(ter)ception”, conclui Breitenbacher.