DeathStalker é um infame ator da APT que a Kaspersky monitora desde 2018, e que visa principalmente escritórios de advocacia e organizações do sector financeiro. Os autores da ameaça destacam-se uma vez que os seus ataques não parecem ter motivações políticas ou financeiras. Os investigadores da Kaspersky acreditam que o DeathStalker age como uma organização mercenária, oferecendo serviços especializados de hacking ou de inteligência financeira.
Em 2020, os investigadores Kaspersky publicaram uma visão geral do perfil do DeathStalker e das suas actividades maliciosas, incluindo as suas campanhas Janicab, Evilnum, PowerSing e PowerPepper. Os peritos da empresa descobriram uma infeção nova e altamente evasiva, baseada no implante "VileRAT" Python, em meados de 2020. Os peritos têm acompanhado de perto a actividade dos actores desde então e descobriram-na em todo o mundo, em 2022, em empresas de comércio de moeda estrangeira (FOREX) e de moeda criptográfica agressivamente visadas.
O VileRat é normalmente implantado após uma cadeia de infeção, que começa a partir de e-mails de spearphishing. Este Verão, os atacantes também aproveitaram os "chatbots" que estão embutidos nos sites públicos das empresas visadas para enviar documentos maliciosos. Os documentos DOCX são frequentemente nomeados utilizando as palavras-chave "compliance" ou "complaint" (bem como o nome da empresa visada), sugerindo que o atacante está a responder a um pedido de identificação ou a relatar um problema, a fim de encobrir o ataque.
A campanha VileRAT destaca-se pela sofisticação das suas ferramentas e vasta infra-estrutura maliciosa (em comparação com as atividades DeathStalker anteriormente documentadas), pelas numerosas técnicas de ofuscação que são utilizadas ao longo de toda a infeção, bem como pela sua atividade contínua e persistente desde 2020. A campanha VileRAT demonstra que o DeathStalker está a fazer um tremendo esforço para desenvolver e manter o acesso aos seus alvos. O possível objetivo dos ataques vai desde a devida diligência, recuperação de bens, apoio em casos de litígio ou arbitragem, até ao trabalho em torno de sanções, mas ainda não parece ser um ganho financeiro direto..”
O VileRat não mostra qualquer interesse em atingir determinados países, em vez disso os investigadores Kaspersky relatam ataques avançados indiscriminados utilizando o VileRat em todo o mundo, com organizações comprometidas na Bulgária, Chipre, Alemanha, Granadinas, Kuwait, Malta, Emiratos Árabes Unidos e Rússia. É de notar que as organizações identificadas vão desde as recentes empresas em fase de arranque até aos líderes estabelecidos da indústria.
“A deteção de fugas tem sido sempre um objetivo para o DeathStalker, desde que tenhamos seguido o autor da ameaça. Mas a campanha VileRAT levou este desejo a outro nível: é sem dúvida a campanha mais intrincada, ofuscada e tentativamente evasiva que alguma vez identificámos a partir deste actor. Acreditamos que as táticas e práticas do DeathStalker são suficientes (e comprovadas) para agir sobre alvos brandos que podem não ter experiência suficiente para resistir a tal nível de determinação, e podem não ter feito da segurança uma das principais prioridades da sua organização, ou que frequentemente interagem com terceiros que não o tenham feito", comenta Pierre Delcher, Investigador Sénior de Segurança do GReAT da Kaspersky.
Leia mais sobre o VileRat e as suas técnicas de evasão na Securelist.
