Image default
Security

Symantec encontra 49 novos módulos do malware “Regin”

Symantec-Regin

O malware que já é conhecido pelo menos desde 2008, tem sido utilizado por um grupo que tem como alvo pessoas e organizações em setores como hotelaria, telecomunicações, energia, investigação e aviação. Um relatório publicado pela Symantec em novembro de 2014, revelou que a maioria das infecções feitas pelo Regin tem sido vistas na Rússia (28%) e Arábia Saudita (24%), mas também apareceram no México, Irlanda, Ìndia, Afeganistão, Irã, Bélgica, Áustria e no Paquistão.

O site de notícias The Intercept informou que as infecções tem ligações com agências de inteligência Britânicas e americanas (EUA). O malware, aparentemente citado em documentos vazados por Edward Snowden, tem sido usado em ataques contra agências governamentais da União Européia e a Belgacom, companhia de telecomunicações Belga.

Regin, considerado uma das mais sofisticadas ferramentas de espionagem da atualidade, tem uma arquitetura de seis estágios. O ataque se inicia com um dropper, ou seja, um programa que instala o malware na máquina alvo. Nos primeiros estágios os drivers são carregados e serviços internos do malware são configurados, enquanto que no úilimo estágio os payloads principais são implementados.

A plataforma tem uma estrutura modular que permite que seus operadores possam adicionar e remover características dependendo do alvo a ser atacado.

A Symantec tem mantido um olhar atento sobre esta ameaça e revela que descobriu cerca de 49 novos módulos, num total de 75. No entanto, os especialistas têm apontado que os demais módulos poderão ser encontrados através de referências nos que já foram analisados.

Uma versão atualizada do relatório inicial da empresa, revela que os módulos recém-descobertos podem ser utilizados para logging (gravação de logs), keylogging (gravação de tudo que é digitado), ferramenta de engenharia social (impersonation), ferramenta forense e monitoramento, captura de pacotes, modificar o comportamento do sistema operacional (Hooking), coleta de informações da rede e de sistemas, roubo de credenciais, leitura e escrita de e-mails, e muitas outras funções.

De acordo com a Symantec, Regin é apoiado por uma extensa estrutura de comando e controle (C & C), envolvendo a rede de comunicações ponto a ponto (P2P) entre os computadores infectados.

“A capacidade de comunicação via P2P do Regin atribui cada infecção à um endereço IP virtual, formando uma VPN em cima da rede física do computador infectado”, explicou a Symantec no post em um blog. “Esta capacidade permite que os atacantes mantenham acesso de administrador em ativos críticos dentro das organizações comprometidas, mascarando a origem dos acessos. O tráfego entre os nós pode ser configurado para coincidir com os protocolos de rede esperados, baseados no local onde forem colocados em operação, adicionando assim um grau a mais de cautela para as comunicações”.

A comunicação entre os diversos módulos do Regin é alimentado por um mecanismo customizado de chamada de procedimento remoto (RPC), que permite aos atacantes, de forma remota, instalar, atualizar e configurar os módulos.

“Apesar da ameaça ter sido exposta no ano passado, é improvável que o grupo por trás deste malware cesse suas operações”, observou a Symantec. “Pelo seu antecedente, e os recursos disponíveis, significa que o grupo poderá voltar com uma nova ameaça ou atualizar o Regin, numa tentativa de evitar a detecção. É provável que seja utilizada a segunda opção, dado o tempo necessário para desenvolver todo o framework de malwares igualmente capazes do zero”.

Os pesquisadores acreditam que o Regin é muito mais sofisticado do que os outros malwares e que poderia ser utilizado como uma fonte de inspiração por outros grupos menos avançados que procuram melhorar o seu arsenal.

Fonte: SecurityNews

Posts similares

Dispositivos IoT estão lançando ataques contra portas Telnet

O Analista

Vem aí o evento ‘White & Black Hackers 4’

O Analista

Rolou na semana: Ransomware para o Linux

O Analista