O MuddyWater (também identificado como Mango Sandstorm ou TA450) é um grupo de ciberespionagem alinhado com o Irão, conhecido por atacar setores governamentais e de infraestruturas críticas, muitas vezes com malware personalizado e ferramentas disponíveis publicamente.

Não perca nenhuma notícia importante da atualidade de tecnologia e acompanhe tudo em tek.sapo.pt

Os investigadores da ESET detectaram uma nova campanha do grupo que visa principalmente organizações em Israel, mas também com um alvo confirmado no Egito. As vítimas identificadas faziam parte de sectores como tecnologia, engenharia, produção industrial, governo local e educação.

A empresa de cibersegurança explica que, nesta campanha, os atacantes recorreram a um conjunto de ferramentas personalizadas, anteriormente não documentadas, com o objetivo de tornar os ataques mais difíceis de detetar e assegurar o acesso aos sistemas comprometidos por mais tempo.

Através de um novo backdoor, chamado MuddyViper, o grupo tem a capacidade de recolher informações do sistema, executar ficheiros e comandos, bem como extrair credenciais de login do Windows e dados do navegador.

Mas, como destacam os investigadores, a campanha também utiliza outros “ladrões de credenciais”, como o Fooder, um loader personalizado que usa como disfarce o clássico jogo Snake.

Nesta campanha, os atacantes começam por enviar emails de spearphishing com anexos em PDF que contêm links para instalar programas de monitorização e gestão remota. Entre as ferramentas usadas pelo grupo está também um backdoor chamado VAX One, cujo nome deriva do software legítimo que imita.

A ESET detalha que, embora o grupo costume usar sempre as mesmas técnicas, o que torna os seus ataques mais fáceis de identificar e bloquear, desta vez, os atacantes recorreram a técnicas mais avançadas para instalar o backdoor MuddyViper através do loader Fooder.

O loader carrega o MuddyViper diretamente na memória do computador. Além disso, a ferramenta usa frequentemente uma função de atraso personalizada que tem como objetivo atrasar a execução, numa tentativa de ocultar o comportamento malicioso dos sistemas de análise automatizados.

Segundo os investigadores, o grupo está a modernizar as suas técnicas para dificultar a deteção. Por exemplo, os atacantes começaram a usar a API criptográfica mais recente do Windows, evitando também controlar diretamente as máquinas das vítimas.

Embora algumas das suas ferramentas continuem a ser fáceis de identificar, a nova campanha mostra sinais claros de evolução do grupo, com maior precisão, segmentação estratégica e um conjunto de ferramentas mais avançado, realça a ESET.

Assine a newsletter do TEK Notícias e receba todos os dias as principais notícias de tecnologia na sua caixa de correio.