Início
O trojan Citadel, um programa popular usado por cibercriminosos para coletar dados bancários e roubar dinheiro de contas, se tornou o mais recente de malware financeiro a ser reaproveitado como uma ferramenta para roubar segredos desta vez industrial de empresas petroquímicas no Oriente Médio.
Durante meados do verão, os atacantes desconhecidos usou o programa para coletar dados, incluindo mensagens de correio electrónico e credenciais, por parte das empresas, a IBM Trusteer declarou em uma análise publicada na segunda-feira. Os pesquisadores da empresa identificada Citadel como o malware usado para infectar e roubar dados das empresas, que incluiu "um dos maiores vendedores de produtos petroquímicos no Oriente Médio e um fornecedor regional das matérias-primas petroquímicas," a análise indicou.
O ataque mostra que tanto os cibercriminosos estão ramificando-se em roubar valiosos segredos industriais ou de que os espiões industriais e do Estado-nação está usando malwares off-the-shelf e infecções oportunistas para recolher informações sensíveis, diz Dana Tamir, diretor de segurança corporativa para IBM Trusteer.
"Estamos vendo uma tendência, em que estes programas não são mais dedicados a fraude financeira ou apenas roubar dinheiro", diz ela. "Eles podem ser facilmente transformadas em ferramentas avançadas para atingir determinadas empresas e se infiltrar seus sistemas."
Diferentemente da maioria dos ataques de espionagem modernas, esta campanha Citadel especial inicialmente não se concentrar nas empresas visadas. Os atacantes usaram técnicas para a infecção maciça de sistemas mais comuns para os cibercriminosos, tais como campanhas de phishing largos para criar uma rede de computadores comprometidos. No entanto, uma vez infectados, os sistemas comprometidos conectados a um servidor de comando e controle para obter comandos específicos na forma de um arquivo de configuração. Para domínios voltados especificamente pertencentes a empresas petroquímicas, os atacantes enviou um arquivo de comando que configurado o sistema para enviar de volta uma variedade de dados, diz Tamir.
Usado como uma ferramenta de espionagem, Citadel iria registrar o acesso a servidores de e-mail e outros sites e enviar os dados para o servidor-comando e controle do grupo. Além disso, como a maioria de malware bancário moderno, Citadel pode executar uma variedade de outras atividades, tais como registrar todas as teclas digitadas, tirar screenshots, modificando páginas vistas pela vítima, e fugir análise. Outro malware bancário, como Zeus e SpyEye, têm sido utilizados no passado para roubar segredos corporativos. Cerca de 1 em 500 máquinas estão infectadas com malware avançado que tem como alvo informações confidenciais ou financeira, de acordo com a IBM Trusteer.
De muitas maneiras, a operação Citadel se assemelha ao de um outro trojan bancário, chamado Dyre , que tem-no muito instâncias específicas direcionadas dados corporativos mantidos pela gestão de clientes, in-the-cloud empresa Salesforce. Nesses casos, Dyre o download de um arquivo de configuração que faz com que ele procurar e roubar as credenciais usadas para fazer login no Salesforce.
O uso de trojans bancários para o roubo mais geral de informação sensível pode ser um sinal de que a espionagem cibernética está se tornando mais industrializada, diz Avivah Litan, analista de segurança da empresa de inteligência de negócios Gartner. A fraude financeira já está muito industrializada, de trojans commodities para botnet serviços a mercados para os dados roubados, tais como informações de cartão de crédito. Com o mesmo malware seja reaproveitado por espionagem, outras partes do ecossistema cibercrime provavelmente vai seguir, ela diz.
"Crime financeiro agora é comercializado, e agora espionagem industrial está se tornando dessa forma", afirma Litan. "Quer se trate de um insider ladino, um fraudador financeiro ou um espião, eles são geralmente usando as mesmas técnicas."
IBM Trusteer se recusou a nomear qualquer uma das empresas afetadas e não especular quem estava por trás dos ataques. Até agora, a empresa detectou menos de 10 empresas afetadas. A empresa de segurança notificou as empresas afetadas no início deste verão, diz Tamir da IBM Trusteer.
Fonte:[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Durante meados do verão, os atacantes desconhecidos usou o programa para coletar dados, incluindo mensagens de correio electrónico e credenciais, por parte das empresas, a IBM Trusteer declarou em uma análise publicada na segunda-feira. Os pesquisadores da empresa identificada Citadel como o malware usado para infectar e roubar dados das empresas, que incluiu "um dos maiores vendedores de produtos petroquímicos no Oriente Médio e um fornecedor regional das matérias-primas petroquímicas," a análise indicou.
O ataque mostra que tanto os cibercriminosos estão ramificando-se em roubar valiosos segredos industriais ou de que os espiões industriais e do Estado-nação está usando malwares off-the-shelf e infecções oportunistas para recolher informações sensíveis, diz Dana Tamir, diretor de segurança corporativa para IBM Trusteer.
"Estamos vendo uma tendência, em que estes programas não são mais dedicados a fraude financeira ou apenas roubar dinheiro", diz ela. "Eles podem ser facilmente transformadas em ferramentas avançadas para atingir determinadas empresas e se infiltrar seus sistemas."
Diferentemente da maioria dos ataques de espionagem modernas, esta campanha Citadel especial inicialmente não se concentrar nas empresas visadas. Os atacantes usaram técnicas para a infecção maciça de sistemas mais comuns para os cibercriminosos, tais como campanhas de phishing largos para criar uma rede de computadores comprometidos. No entanto, uma vez infectados, os sistemas comprometidos conectados a um servidor de comando e controle para obter comandos específicos na forma de um arquivo de configuração. Para domínios voltados especificamente pertencentes a empresas petroquímicas, os atacantes enviou um arquivo de comando que configurado o sistema para enviar de volta uma variedade de dados, diz Tamir.
Usado como uma ferramenta de espionagem, Citadel iria registrar o acesso a servidores de e-mail e outros sites e enviar os dados para o servidor-comando e controle do grupo. Além disso, como a maioria de malware bancário moderno, Citadel pode executar uma variedade de outras atividades, tais como registrar todas as teclas digitadas, tirar screenshots, modificando páginas vistas pela vítima, e fugir análise. Outro malware bancário, como Zeus e SpyEye, têm sido utilizados no passado para roubar segredos corporativos. Cerca de 1 em 500 máquinas estão infectadas com malware avançado que tem como alvo informações confidenciais ou financeira, de acordo com a IBM Trusteer.
De muitas maneiras, a operação Citadel se assemelha ao de um outro trojan bancário, chamado Dyre , que tem-no muito instâncias específicas direcionadas dados corporativos mantidos pela gestão de clientes, in-the-cloud empresa Salesforce. Nesses casos, Dyre o download de um arquivo de configuração que faz com que ele procurar e roubar as credenciais usadas para fazer login no Salesforce.
O uso de trojans bancários para o roubo mais geral de informação sensível pode ser um sinal de que a espionagem cibernética está se tornando mais industrializada, diz Avivah Litan, analista de segurança da empresa de inteligência de negócios Gartner. A fraude financeira já está muito industrializada, de trojans commodities para botnet serviços a mercados para os dados roubados, tais como informações de cartão de crédito. Com o mesmo malware seja reaproveitado por espionagem, outras partes do ecossistema cibercrime provavelmente vai seguir, ela diz.
"Crime financeiro agora é comercializado, e agora espionagem industrial está se tornando dessa forma", afirma Litan. "Quer se trate de um insider ladino, um fraudador financeiro ou um espião, eles são geralmente usando as mesmas técnicas."
IBM Trusteer se recusou a nomear qualquer uma das empresas afetadas e não especular quem estava por trás dos ataques. Até agora, a empresa detectou menos de 10 empresas afetadas. A empresa de segurança notificou as empresas afetadas no início deste verão, diz Tamir da IBM Trusteer.
Fonte:[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]