Investigadores da ESET detetaram um novo grupo de Ameaça Persistente Avançada (APT) que tem vindo a apropriar-se de documentos sensíveis de várias agências governamentais na Europa do Leste e Balcãs desde 2011.
Designado XDSpy pela ESET, o grupo tem conseguido evitar a exposição pública enquanto leva a cabo técnicas maliciosas de spear phishing* de forma a comprometer os seus alvos. Os emails entretanto analisados pelos especialistas da ESET revelam algumas variações: enquanto uns contêm anexos, outros apresentam links para um ficheiro malicioso. A primeira camada do ficheiro malicioso ou anexo é, por norma, um ficheiro comprimido ZIP ou RAR.
No final de junho de 2020, no contexto da pandemia global, os operadores do grupo exploraram uma vulnerabilidade no Internet Explorer, a CVE-2020-0968, que já tinha sido corrigida (patched) em abril deste ano. Já no passado mês de setembro, o XDSpy aproveitou-se da pandemia de COVID-19 para nova iniciativa de spear phishing.
Por não terem sido identificadas semelhanças de código com outras famílias de malware, os investigadores da ESET não observaram qualquer sobreposição na infraestrutura em rede, concluindo, por isso, que o XDSpy se trata realmente de um grupo previamente não identificado.
Os alvos deste grupo APT estão localizados na Europa do Leste e nos Balcãs. Tratam-se sobretudo de agências governamentais, incluindo militares, Ministérios de Negócios Estrangeiros e empresas privadas.
Para mais informação técnica sobre este grupo e as suas operações, por favor, consulte o white paper “XDSpy: stealing government secrets since 2011” no WeLiveSecurity (em inglês).
* “Spear fishing” refere-se a ataques de “phishing” através de e-mail que se distinguem por terem uma determinada organização como alvo específico.