A ameaça de difícil detecção "The Mask" permitiu a criminosos o acesso a dados sensíveis de instituições governamentais e empresas principalmente de setores energia, petróleo, gás de mais de 31 países, afirma companhia.

Um malware ligado a operações ciberespionagem contra governos foi identificado pela equipe de pesquisa de segurança da Kaspersky Lab e anunciado nesta terça-feira (11/2). Nomeada de “The Mask”, a ameaça baseada em língua espanhola (também conhecida como Careto) foi construída em cima de um complexo conjunto de ferramentas de malware multiplataformas com objetivo de compilar dados sensíveis de sistemas infectados.

A companhia de software de segurança digital contabiliza que 31 países foram vítimas dos ataques dirigidos, incluindo o Brasil, além de lugares como China, Estados Unidos e Reino Unido. Além de governos, embaixadas e escritórios diplomáticos, empresas do setor de energia, petróleo, gás e organizações de pesquisa e ativistas estão entre os alvos do malware. Segundo a Kaspersky Lab, algumas amostras do Careto indicam que atividades de ciberespionagem relacionadas a ele são desenvolvidas por criminosos desde 2007. Até o momento, foram observadas cerca de 380 vítimas únicas entre mais de 1000 IPs.

A complexidade do malware está ligada à combinação de ferramentas como rootkit, bootkit, versões para Mac OS X e Linux e, possivelmente, para iOS (iPad e iPhone), que juntas permitem o acesso a documentos, chaves de criptografia VPN, chaves SSH (para identificar usuários em um servidor SSH) e arquivos RDP (utilizados pelo Remote Desktop Client com intuito de abrir automaticamente uma conexão com um computador reservado).

Assim, o criminoso consegue interceptar todos os canais de comunicação e coletar as informações importantes da máquina acometida. As consequências dessa infecção podem ser desastrosas, uma vez que a sofisticação do malware torna sua detecção extremamente difícil graças a utilização de recursos rootkit, funcionalidades built-in e módulos de ciberespionagem adicionais.

O diretor de pesquisa e análise global da Kaspersky Lab avalia que o nível de segurança operacional utilizado pelo malware “não é normal para os grupos de cibercriminosos”, o que indica que a ameaça faz parte de uma campanha organizada por algum Estado.

“Em primeiro lugar, observamos um alto grau de profissionalismo nos procedimentos operacionais do grupo por trás deste ataque. Desde a gestão de infraestrutura até o desligamento da operação, evitando os olhos curiosos através de regras de acesso, utilizando a limpeza ao invés da exclusão de arquivos de log”, observa.

De acordo com o especialista, estas precauções combinadas posicionam esse ataque APT à frente do Duqu em termos de sofisticação, o que faz dele uma das ameaças existentes mais avançadas. Entre os vetores do ataque utilizados, foi identificado um exploit de Adobe Flash Player CVE-2012-0773), projetado para versões do Flash Player anteriores ao 10.3 e 11.2.

O “The Mask” foi descoberto inicialmente em 2013 pelos pesquisadores da companhia, que perceberam tentativas de ataques com objetivo de explorar vulnerabilidades de produtos que haviam sido resolvidas há cinco anos. Segundo relatou a empresa, o exploit impediu que o malware fosse detectado, o que despertou o interesse dos pesquisadores em iniciar investigação aprofundada.