Investigadores da Kaspersky descobriram uma campanha de ciberespionagem em curso que visava, inicialmente, uma entidade governamental no Médio Oriente. Investigações adicionais revelaram mais de 30 amostras de malware dropper utilizadas nesta campanha, expandindo a sua ação para a região da APAC, Europa e América do Norte. Denominado DuneQuixote, incorpora trechos de poemas espanhóis nas suas cadeias de malware para aumentar a persistência e evitar a deteção, com o objetivo final de ciberespionagem.
Como parte da monitorização contínua de atividades maliciosas, os especialistas da Kaspersky descobriram uma campanha de ciberespionagem, em fevereiro de 2024, que visava uma entidade governamental no Médio Oriente. Os atacantes espiavam secretamente esta entidade e recolhiam os dados sensíveis, através de um conjunto sofisticado de ferramentas concebidas para serem furtivas e persistentes.
Os droppers iniciais do malware disfarçam-se de ficheiros de instalação adulterados com origem numa ferramenta legítima denominada Total Commander. Nestes droppers, são incorporados versos de poemas espanhóis, com versos diferentes de uma amostra para outra. Esta variação tem o objetivo alterar a assinatura de cada amostra, tornando a deteção por metodologias tradicionais mais difícil.
Incoporado nos droppers está, também, um código malicioso concebido para descarregar cargas úteis adicionais sob a forma de uma backdoor denominada CR4T. As backdoors, desenvolvidas em C/C++ e GoLang, têm como objetivo conceder aos atacantes o acesso ao dispositivo da vítima.
“As variantes do malware mostram a adaptabilidade e engenho dos criminosos por trás desta campanha. De momento, descobrimos dois desses implantes, mas suspeitamos fortemente da existência de outros“, destaca Sergey Lozhkin, investigador principal de segurança da Equipa Global de Investigação e Análise (GReAT) da Kaspersky.
A telemetria da Kaspersky identificou uma vítima no Médio Oriente em fevereiro de 2024. Adicionalmente, inúmeros uploads do mesmo malware ocorreram no final de 2023, para um serviço semipúblico de verificação de malware, registando mais de 30 submissões. Outras fontes suspeitas de pontos de saída de VPN estão localizadas na Coreia do Sul, Luxemburgo, Japão, Canadá, Países Baixos e EUA.