Últimas notícias

Fique informado

MontysThree: ciberespionagem industrial

22 de outubro de 2020

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

O impacto das leis de incentivo na Indústria 4.0

Adotar novas tecnologias relacionadas à tendência da Indústria 4.0 contribui para a otimização e automatização de processos de negócios.

7 de janeiro de 2020

Um grupo de cibercriminosos usa a esteganografia para ocultar seus códigos e pesquisar dados industriais usando o MontysThree

Nossos especialistas encontraram vestígios da atividade de um novo grupo de espionagem de empresas industriais. Os cibercriminosos realizam ataques direcionados usando uma ferramenta que chamamos  de MontysThree e procuram documentos nos computadores das vítimas. O grupo parece estar ativo desde pelo menos 2018.

Como MontysThree infecta computadores?

Os cibercriminosos usam técnicas clássicas de spear-phishing para invadir os computadores das vítimas, enviando e-mails contendo arquivos executáveis que emulam documentos em formato .pdf ou .doc para funcionários de corporações industriais.

Esses arquivos geralmente têm nomes como “Atualização de dados corporativos”, “Especificações técnicas”, “Lista de números de telefone do funcionário 2019” e semelhantes.

Em alguns casos, os invasores tentam fazer com que os arquivos pareçam documentos médicos, com nomes como “Resultados de análises médicas” ou “Invitro-106650152-1.pdf” (Invitro é um dos laboratórios clínicos mais importantes da Rússia).

O que os cibercriminosos buscam?

O MontysThree procura documentos específicos nos formatos Microsoft Office e Adobe Acrobat localizados em vários diretórios e mídias conectados.

Após a infecção, o malware rastreia um perfil do computador da vítima: ele envia a versão do sistema, uma lista de processos e prints da área de trabalho para o servidor de comando e controle, bem como uma lista de documentos abertos recentemente, junto com seus extensões .doc, .docx, .xls, .xlsx, .rtf, .pdf, .odt, .psw e .pwd nos diretórios USERPROFILE e APPDATA.

O que mais o MontysThree pode fazer?

Os desenvolvedores implementaram vários mecanismos um tanto incomuns em seu malware. Por exemplo, após a infecção, o módulo de download extrai e descriptografa o módulo principal, que é criptografado em uma imagem usando estenografia.

Nossos especialistas acreditam que os invasores escreveram o algoritmo de esteganografia do zero; ou seja, eles não o copiaram de amostras de código aberto, como costuma ser o caso.

O malware se comunica com o servidor de comando e controle usando serviços de nuvem pública, como Google, Microsoft e Dropbox, bem como WebDAV. Além disso, o módulo de comunicação pode enviar solicitações usando RDP e Citrix.

Para piorar as coisas, os criadores do malware não inseriram nenhum protocolo de comunicação em seu código; em vez disso, MontyThree usa programas legítimos (RDP, clientes Citrix e Internet Explorer).

Para manter o malware no sistema da vítima pelo maior tempo possível, um módulo auxiliar modifica os atalhos no painel de inicialização rápida do Windows, para que quando o usuário inicie um atalho (por exemplo, para abrir o navegador ), o módulo carregador MontyThree é executado ao mesmo tempo.

Quem são os responsáveis pelo ataque?

Nossos especialistas não veem sinais de vinculação dos criadores do MontysThree a ataques recentes. Este parece ser um grupo inteiramente novo de cibercriminosos e, a julgar por vários trechos do código, o russo é a língua materna dos autores.

Além disso, provavelmente seu principal alvo serão as empresas que também têm o russo como idioma; alguns dos diretórios pesquisados pelo malware existem na versão cirílica do sistema. Embora nossos especialistas também tenham encontrado informações de contas de serviços de comunicação que sugerem uma origem na China, elas parecem iscas falsas destinadas a esconder os rastros dos invasores.

Como agir?

Primeiro, reforce a comunicação interna, com seus funcionários, que os ataques direcionados geralmente começam com e-mail, então eles devem ser extremamente cautelosos ao abrir arquivos, especialmente aqueles que não estão esperando.

Para garantir que eles entendam a necessidade desse alerta, recomendamos que você não apenas mencione os perigos de tal comportamento, mas também desenvolva suas habilidades para combater ciberameaças atuais usando o Kaspersky Automated Security Awareness Platform.

Fonte: Kaspersky Daily

Indústria 4.0: ganhos e desafios para o setor de serviços

Edge computing será fundamental para 90% das empresas industriais até 2022

A inovação pode estar no simples: é possível adentrar na indústria 4.0 no Brasil sem altos investimentos