No final de 2019, nossos especialistas usaram a técnica do watering hole para descobrir um ataque direcionado. Sem implantar nenhum truque sofisticado ou explorar qualquer vulnerabilidade, os invasores infectaram dispositivos de usuários na Ásia por um período de pelo menos oito meses. Com base no assunto dos sites usados ​​para espalhar o malware, o ataque foi batizado, sim, Água Benta. Este é o segundo ataque que descobrimos em vários meses para usar essas táticas (veja aqui outras descobertas de nossos pesquisadores).

Como a água benta infectou os dispositivos dos usuários?

Parece que os invasores em algum momento comprometeram um servidor que hospedava páginas da Web pertencentes principalmente a figuras religiosas, organizações públicas e instituições de caridade. Os cibercriminosos incorporaram scripts maliciosos no código dessas páginas, que foram então usados ​​para realizar os ataques.

Quando os usuários visitavam uma página infectada, os scripts usavam ferramentas perfeitamente legítimas para coletar dados sobre eles e encaminhá-los a um servidor de terceiros para validação. Não sabemos como as vítimas foram selecionadas, mas em resposta às informações recebidas, caso o alvo fosse promissor, o servidor enviou um comando para continuar o ataque.

A próxima etapa envolveu um truque agora padrão (em uso por mais de uma década): o usuário foi solicitado a atualizar o Adobe Flash Player, que estava supostamente desatualizado e um risco à segurança. Se a vítima consentiu, então, em vez da atualização prometida, o backdoor Godlike12 foi baixado e instalado no computador.

O perigo de Deus 12

Os mentores do ataque fizeram uso ativo de serviços legítimos, tanto para traçar o perfil das vítimas quanto para armazenar o código malicioso (o backdoor foi citado no GitHub). Ele se comunicava com os servidores CC por meio do Google Drive.

O backdoor colocou um identificador no armazenamento do Google Drive e fez chamadas regulares para ele para verificar os comandos dos invasores. Os resultados da execução de tais comandos também foram carregados lá. De acordo com nossos especialistas, o objetivo do ataque foi o reconhecimento e a coleta de informações de dispositivos comprometidos.

Para os interessados ​​nos detalhes técnicos e nas ferramentas empregadas, consulte o post da Securelist sobre Água Benta , que também lista os indicadores de comprometimento.

Como se proteger contra isso

Até agora, vimos Água Benta apenas na Ásia. No entanto, as ferramentas usadas na campanha são bastante simples e podem ser facilmente implantadas em outro lugar. Portanto, recomendamos que todos os usuários levem essas recomendações a sério, independentemente de sua localização.

Não podemos dizer se o ataque é dirigido contra certos indivíduos ou organizações. Mas uma coisa é certa: qualquer pessoa pode visitar os sites infectados em seus dispositivos domésticos e de trabalho. Portanto, nosso conselho principal é proteger qualquer dispositivo com acesso à Internet. Oferecemos soluções de segurança para computadores pessoais e corporativos . Nossos produtos detectam e bloqueiam todas as ferramentas e técnicas que os criadores da Água Benta usam.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.