Você já imaginou receber um convite para uma degustação de vinhos que, na verdade, esconde um ataque cibernético sofisticado? Parece coisa de filme, mas é a realidade para diplomatas europeus que recentemente caíram em uma armadilha virtual elaborada por cibercriminosos russos.
Este artigo explora o recente caso de cibercrime que envolveu o grupo de hackers conhecido como Cozy Bear e como eles usaram uma estratégia de engenharia social para atingir seus alvos.
A Degustação de Vinho Maliciosa
O grupo Cozy Bear, também conhecido como APT29, não é novo no cenário de cibercrime. Conhecidos por suas táticas eficazes e seu histórico de ataques bem-sucedidos, eles estão de volta com uma nova armadilha: o Grapeloader. Diferentemente de ataques anteriores, dessa vez o isca é um convite para uma sofisticada degustação de vinhos, enviado por e-mail.
Os e-mails pareciam extremamente legítimos, mimetizando mensagens do Ministério das Relações Exteriores de um país europeu. Assuntos como “Evento de degustação de vinhos (data atualizada),” “Para a agenda do embaixador,” e “Jantar diplomático” foram usados para aumentar a credibilidade do convite.
O Mecanismo do Ataque
O grande perigo residia no link contido nos e-mails. Ao clicar, a vítima era direcionada para um download, um arquivo aparentemente inofensivo chamado “wine.zip”. Dentro deste arquivo, havia diversos elementos: um executável PowerPoint legítimo (“wine.exe”), uma DLL oculta e aparentemente inofensiva (“AppvIsvSubsystems64.dll”), e outra DLL oculta e fortemente ofuscada (“ppcore.dll”), que funciona como um carregador de malware, o próprio Grapeloader.
O Grapeloader tinha o objetivo de copiar o conteúdo do arquivo para o computador da vítima e alterar o registro do Windows para garantir a persistência do malware. Ele também coletava informações do sistema, como nomes de usuários e processos, e se comunicava secretamente com um servidor de comando e controle a cada 60 segundos, possivelmente para se atualizar ou receber instruções.
O Malware Grapeloader e Wineloader
O Grapeloader, segundo a análise, serve como um “carregador”, que provavelmente entrega um malware mais avançado em fases posteriores do ataque, o Wineloader. Essa nova versão do Wineloader apresenta melhorias significativas: é um trojan de 64 bits com recursos aprimorados de ocultação e capacidade de criptografar dados utilizando o algoritmo RC4 antes de enviá-los ao servidor de comando e controle, tornando a detecção mais difícil.
A Identidade por Trás do Ataque
Com base nas características do malware e nos alvos, pesquisadores atribuem com alta confiança a autoria do ataque ao Cozy Bear, o grupo ligado ao governo russo e presumivelmente operando sob a direção do FSB. Esse grupo possui um histórico extenso de atividades de espionagem cibernética, incluindo o notório ataque SolarWinds de 2020.
A experiência mostra que o Cozy Bear é altamente sofisticado, adaptando suas táticas para permanecer discreto e atingir seus objetivos. Este novo ataque demonstra a importância da vigilância e a necessidade de constante atualização de medidas de segurança cibernética.
Em resumo, a sofisticada armadilha do Cozy Bear usando um convite para degustação de vinhos destaca a necessidade de cautela ao lidar com mensagens eletrônicas de origem duvidosa, mesmo que pareçam legítimas. A constante evolução das técnicas de cibercrime requer uma atenção redobrada da parte dos indivíduos e das organizações.
Compartilhe suas experiências com e-mails suspeitos. Como você se protege de ataques de phishing?
Fonte: Theregister
