Pesquisadores da empresa de segurança ESET anunciaram nesta quarta-feira (30) a descoberta de um novo grupo hacker chamado XDSpy. Com ferramentas e modo de operação que priorizavam a furtividade, ele conseguiu operar indetectado por nove anos antes que suas operações fossem descobertas em fevereiro deste ano graças a um alerta da CERT na Bielorússia.
A operação parecia ter como objetivo o roubo de documentos de membros do governo, como diplomatas e militares, de países como a Bielorússia, Moldova, Rússia, Sérvia e Ucrânia. Além disso, a lista de alvos também incluía algumas empresas privadas e instituições acadêmicas, sinalizando que o malware também pode ter sido usado para espionagem econômica e industrial.
O malware era distribuído através de e-mails de phishing contendo anexos que se passavam por aquivos .zip e apresentações do PowerPoint, entre outros. O primeiro componente do malware a infectar a máquina era um “downloader” chamado XDDown, responsável por baixar outros módulos capazes de realizar ações variadas.
Entre as habilidades do malware estão o monitoramento de discos removíveis (como HDs externos e pendrives), captura de screenshots, exfiltração de documentos, coleta de identificadores de Wi-Fi próximos (uma tentativa de determinar a localização física de um PC) e captura de senhas de navegadores e clientes de e-mail.
O comportamento do grupo justifica sua designação como uma APT (Advanced Persistent Threat, Ameaça Persistente Avançada), nome dado a grupos que atuam em benefício e sob comando de um determinado país, geralmente realizando operações contra países vizinhos e também rivais
Não há indicação de para quem o XDSpy trabalha, já que os países vítimas estão na esfera de influência tanto da Rússia quanto dos países da OTAN. Pistas no código, como datas de compilação, sugerem que o desenvolvimento do malware foi feito no leste europeu.
Fonte: ZDNet