Durante a agenda de palestras da H2HC, a pesquisadora argentina Veronica Valeros, apresentou um trabalho de investigação que realizou, junto a colegas, sobre o malware Machete. A pesquisa foi em cima de nove anos de atuação do malware, que foi definido como uma campanha de espionagem direcionadas a países da América Latina.
Durante sua apresentação, Veronica explicou que a ciberespionagem é entendida como o ato de obter informações restritas sem permissão de lugares, governos, organizações, e na maioria, de pessoas por meio de malwares. “Esse tipo de campanha não é tão comum na América Latina, mas a primeira publicação sobre o Machete ocorreu em 2014, e depois não ouvimos mais nada sobre esse malware. Em 2017, vimos que o Machete ainda está vivo e pessoas não prestavam atenção nele”. Ela contou que a partir daí, a investigação começou com o intuito de responder algumas perguntas básicas: o ator do malware estava ativo? O Machete ainda estava operando? Há um grupo ou um individuo por trás disso? Quem são os alvos? Quais os interesses dos atacantes? O Machete está em desenvolvimento contínuo?
Durante três anos, Veronica e seus colegas buscaram responder a essas perguntas com ajuda de outras pessoas, entre eles o Malware Hunter Team, e outros colaboradores. “Fizemos uma análise e estudo da atividade de ciberespionagem de nove anos do Machete. E descobrimos que ele é uma ferramenta operada por um grupo, que até o momento não tem um nome”, disse.
O time de pesquisadores realizou ainda a engenharia reversa do Machete e identificou 176 campanhas feitas em nove anos de atividade, o que é considerado bastante, além de 342 módulos do Machete e dois estágios. “As amostras mais velhas são de dezembro 2010 e as mais recentes são de janeiro deste ano”, explicou Veronica. “Construímos uma linha do tempo e descobrimos que o Machete opera via entregas maliciosas em anexos, URLs e injeções Web, elas exigem interação do usuário, ou seja, um click no documento infectado”.
Ela destacou que o Machete possui características de um trojan, mas está atrás de informações específicas. “Tem muita gente por trás disso”, alertou. Depois de coletar os dados, eles descobriram que a estrutura do malware não modificou nos últimos anos, e ele ainda é operado pelo mesmo grupo. “Não sabemos quantas pessoas tiveram acesso aos dados das pessoas”. Analisando as campanhas, para identificar o tipo de documento enviado, a linguagem, o tema e o principal país mencionado. Os tópicos mais comuns eram política, área militar, e área legal. “Os países que identificamos, em sua maioria, mais mencionados são Venezuela, Colômbia, Brasil, Chile”, contou.
Conclusões — O Machete ainda está ativo na América Latina, o que indica que os países estão sob investigação. “O malware evoluiu continuamente e silenciosamente. O grupo por trás do Machete é grande, mais de 50 pessoas. Sofisticação da Ameaça persistente avançada (APT) está diretamente ligada à situação socioeconômica das regiões-alvo. É importante que a gente investigue e nos engajamentos a trazer luz para essas situações e outras que existem”, complementou Veronica.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.