Fuja do campo de batalha na Ucrânia
Malware que escapou do controle de seus criadores © Hamara/Shutterstock
LitterDrifter é um malware programado para se espalhar via USB. Criado pelo grupo russo Gamaredon, inicialmente tinha como alvo a Ucrânia, mas está agora a espalhar-se muito para além das fronteiras do país.
Após uma investigação mais aprofundada, descobriu-se que o software inicialmente criado para uma nação específica transcendeu desde então as fronteiras geográficas e alcançou autonomia. Este desenvolvimento pode ser atribuído ao grupo Gamaredon, que está intimamente associado ao Serviço Federal de Segurança Russo (FSB), uma organização que lembra o notório KGB da antiga União Soviética. Os relatórios indicam que este malware, também conhecido como LitterDrifter, foi detectado em vários países ao redor do mundo.
Gênesis e características do LitterDrifter
O grupo Gamaredon, também conhecido como ACTINIUM, Primitive Bear ou Shuckworm, destaca-se entre os atores russos de ciberespionagem devido à sua notável capacidade de realizar operações em grande escala. Ao contrário do ransomware LockBit, que não tem sido o foco principal do grupo desde a sua criação em 2013, o Gamaredon tem como alvo principal a Ucrânia. Além disso, de acordo com uma pesquisa realizada pela Check Point Research, este grupo opera de forma mais transparente do que muitas outras organizações russas de ciberespionagem.
Na verdade, este grupo específico de indivíduos empregou uma variedade de aplicações de software malicioso durante um longo período de tempo, incluindo ObfuMerry, Pterodo e DinoTrain, entre outros. Seu desenvolvimento mais recente é conhecido como LitterDrifter, que foi criado utilizando a linguagem Visual Basic Scripting. As funções principais deste programa consistem em dois recursos distintos.
-Pode receber ordens remotamente de servidores de comando e controle. -Ele se espalha automaticamente via USB.
O malware demonstra um alto nível de compatibilidade com vários sistemas operacionais, incluindo o Windows, permitindo a criação de novas tarefas agendadas e entradas de registro. Ao aproveitar o Windows Management Instrumentation (WMI), um recurso fundamental do sistema que supervisiona operações e informações, ele pode comprometer com eficiência os dispositivos USB.
Diagrama representando os estágios da infecção por LitterDrifter © Techspot
Expansão descontrolada e consequências
A evolução do âmbito de distribuição do LitterDrifter expandiu-se para além das fronteiras da Ucrânia, com detecções relatadas em vários países, como Alemanha, Estados Unidos, Vietname, Polónia e Chile. Este infeliz desenvolvimento sugere que a capacidade da Gamaredon de gerir a disseminação do seu software malicioso se deteriorou significativamente, resultando em alvos não intencionais afetados pela ameaça.
Ao estabelecer uma conexão com um host já comprometido, o malware tenta contaminar o dispositivo USB conectado e passa a se comunicar com um servidor de comando e controle (C2) que está estrategicamente oculto através da utilização de uma série de endereços IP atribuídos dinamicamente. A complexidade inerente ao rastreamento de atividades nefastas surge do fato de que esses servidores C2C são projetados para alterar seus pontos de contato com regularidade, complicando assim os esforços para identificar e mitigar ameaças potenciais. Além disso, o emprego de múltiplos endereços IP aumenta a resiliência de tais servidores, distribuindo o tráfego de rede entre eles, reduzindo assim a probabilidade de detecção ou interrupção.
Neste momento, parece que a Check Point Research ainda não identificou quaisquer cargas ilícitas na sua análise do LitterDrifter. Esta conclusão sugere que a campanha pode fazer parte de um esforço mais amplo e coordenado que visa causar danos generalizados em vários países. O surgimento de malware tão avançado e insidioso serve como um lembrete preocupante das ameaças em constante evolução representadas pelos cibercriminosos no cenário digital atual.
Fonte: Techspot
*️⃣ Link da fonte: