A Kaspersky Lab analisa uma campanha ativa de espionagem digital

kas A equipe de especialistas da Kaspersky Lab publicou uma descrição detalhada Um relatório de pesquisa analisando uma prolongada campanha de espionagem cibernética por uma organização criminosa conhecida como Winnti.

De acordo com o relat√≥rio da Kaspersky Lab, a equipe Winnti vem atacando empresas da ind√ļstria de jogos online de 2009 at√© hoje. O objetivo do grupo √© espionar certificados digitais <‚Ķ>

assinado por fornecedores legais de software em conjunto com roubo de direitos autorais, incluindo o código-fonte de projetos de jogos online.

O primeiro caso que chamou a aten√ß√£o para as atividades maliciosas do grupo Winnti apareceu no outono de 2011, quando um Trojan malicioso foi detectado em um grande n√ļmero de terminais em todo o mundo.

A conexão clara entre todos os computadores infectados é que seus usuários costumavam jogar um jogo online popular. Logo após o incidente, surgiram detalhes de que o programa malicioso que havia infectado os computadores dos usuários fazia parte de uma atualização regular do servidor oficial de jogos da empresa. software para espionar seus clientes. No entanto, mais tarde ficou claro que o programa malicioso foi instalado no computador do jogador por acidente e que os cibercriminosos estavam realmente mirando a própria empresa de jogos.

A Reacting, a editora do jogo eletr√īnico que possu√≠a os servidores que distribu√≠am o Trojan para seus usu√°rios, pediu √† Kaspersky Lab para analisar o programa malicioso.

O Trojan acabou se tornando uma biblioteca DLL para ambientes Windows de 64 bits e usou uma unidade maliciosa assinada corretamente. Era uma RAT (Ferramenta de Administração Remota) totalmente funcional, que permite que os invasores controlem o computador da vítima sem o seu conhecimento. O resultado foi significativo, pois esse Trojan em particular foi o primeiro programa malicioso em uma versão de 64 bits do Windows a ter uma assinatura digital válida.

Os especialistas da Kaspersky Lab come√ßaram a analisar a campanha da Winnti e descobriram que mais de 30 empresas da ind√ļstria de jogos foram afetadas pela Winnti, sendo a maioria empresas de desenvolvimento de software que produzem jogos eletr√īnicos online no sudeste da √Āsia. No entanto, empresas de jogos online com sede na Alemanha, Estados Unidos, Jap√£o, China, R√ļssia, Brasil, Peru e Bielorr√ļssia tamb√©m foram identificadas como v√≠timas do grupo Winnti.

Al√©m da espionagem industrial, os especialistas da Kaspersky Lab identificaram tr√™s principais esquemas de lucratividade que poderiam ser usados ‚Äč‚Äčpelo Winnti para obter lucro ilegal:

– Controlar a acumula√ß√£o de dinheiro no jogo, como “runas” ou “ouro”, usado pelos jogadores para converter dinheiro digital em dinheiro real. -O uso do c√≥digo prim√°rio roubado pelos servidores de jogos on-line para procurar vulnerabilidades nos jogos e aumentar e acelerar o controle do dinheiro digital e seu ac√ļmulo sem suspeitas. -O uso de c√≥digo prim√°rio roubado por servidores de jogos online populares para desenvolver seus pr√≥prios servidores piratas.

Atualmente, a equipe Winnti ainda est√° ativa e a pesquisa da Kaspersky Lab est√° em andamento. A equipe de especialistas da empresa est√° trabalhando diligentemente com a comunidade de seguran√ßa de TI, a ind√ļstria de jogos on-line e as autoridades de certifica√ß√£o para identificar servidores infectados adicionais, ajudando a recuperar os certificados digitais roubados.

O relatório completo da Kaspersky Lab sobre a campanha Winnti, que inclui uma análise técnica completa da pesquisa, está disponível na Securelist.

Os produtos da Kaspersky Lab identificam e neutralizam programas maliciosos e suas variantes usadas pela equipe Winnti, categorizando Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti e Rootkit.Win64.Winnti.

Fonte: pcnea.blogspot.gr