ESET descobre grupo hacker que trabalhou escondido por nove anos

XDSpy parece ter como objetivo a espionagem política, econômica e industrial; não se sabe ainda para qual país seus membros trabalham
Rafael Rigues02/10/2020 18h42

20200903113710

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Pesquisadores da empresa de segurança ESET anunciaram nesta quarta-feira (30) a descoberta de um novo grupo hacker chamado XDSpy. Com ferramentas e modo de operação que priorizavam a furtividade, ele conseguiu operar indetectado por nove anos antes que suas operações fossem descobertas em fevereiro deste ano graças a um alerta da CERT na Bielorússia.

A operação parecia ter como objetivo o roubo de documentos de membros do governo, como diplomatas e militares, de países como a Bielorússia, Moldova, Rússia, Sérvia e Ucrânia. Além disso, a lista de alvos também incluía algumas empresas privadas e instituições acadêmicas, sinalizando que o malware também pode ter sido usado para espionagem econômica e industrial.

O malware era distribuído através de e-mails de phishing contendo anexos que se passavam por aquivos .zip e apresentações do PowerPoint, entre outros. O primeiro componente do malware a infectar a máquina era um “downloader” chamado XDDown, responsável por baixar outros módulos capazes de realizar ações variadas.

Entre as habilidades do malware estão o monitoramento de discos removíveis (como HDs externos e pendrives), captura de screenshots, exfiltração de documentos, coleta de identificadores de Wi-Fi próximos (uma tentativa de determinar a localização física de um PC) e captura de senhas de navegadores e clientes de e-mail.

O comportamento do grupo justifica sua designação como uma APT (Advanced Persistent Threat, Ameaça Persistente Avançada), nome dado a grupos que atuam em benefício e sob comando de um determinado país, geralmente realizando operações contra países vizinhos e também rivais

Não há indicação de para quem o XDSpy trabalha, já que os países vítimas estão na esfera de influência tanto da Rússia quanto dos países da OTAN. Pistas no código, como datas de compilação, sugerem que o desenvolvimento do malware foi feito no leste europeu.

Fonte: ZDNet

Colunista

Rafael Rigues é colunista no Olhar Digital