Home  >  Segurança

Ameaça “Darkhotel” rouba dados de quem viaja para o exterior

Alvos mais recentes foram CEOs, vice-presidentes, diretores de marketing e vendas que viajaram para Estados Unidos e Ásia

Redação

12/11/2014 às 18h49

Foto:

Você é executivo e se hospedou em um hotel luxuoso no exterior ao longo dos últimos quatro anos? Talvez seja melhor procurar o time de segurança da informação de sua companhia. A Kaspersky Lab descobriu uma quadrilha de espionagem (batizada de Darkhotel) que rouba dados sensíveis de profissionais de alto escalão em viagens para fora de seus países de origem. 

De acordo com a provedora de ferramentas de segurança, o grupo nunca repete seus alvos e realiza operações com precisão cirúrgica, coletando todos os dados valiosos que conseguirem no primeiro contato, deletando traços de seus trabalhos e se escondendo para esperar pela próxima vitima. 

Os alvos mais recentes foram CEOs, vice-presidentes, diretores de marketing e vendas e líderes de times de pesquisa e desenvolvimento que viajaram para Estados Unidos e Ásia. 

A ameaça Darkhotel mantém uma intrusão efetiva instalada em redes hoteleiras, fornecendo amplo acesso através dos anos, incluindo sistemas que eram considerados privados e seguros. Eles esperam que, uma vez registrada, a vítima se conecte a rede Wi-Fi do hotel, colocando o número do quarto e o nome de usuário na hora do login. 

Aí, os criminosos o veem na rede comprometida e o enganam para que ele baixe e instale um backdoor que finge ser uma atualização legitima de software - Google Toolbar, Adobe Flash ou Windows Messenger. O executivo baixa a falsa “página de boas vindas” do hotel, que infecta seu computador com um software de espionagem.

Uma vez em um sistema, o backdoor pode ser utilizado para continuar realizando o download de ferramentas para roubos mais elaborados: um avançado keylogger assinado digitalmente, o Trojan “Karba” e um módulo para roubo de informação. 

Estas ferramentas coletam dados sobre o sistema e sobre o software anti-malware instalado no computador, rouba todas as informações digitadas no teclado e caça senhas armazenadas de maneira confidencial no Firefox, Chrome e Internet Explorer; Gmail Notifier, Twitter, Facebook, Yahoo!, além de roubar as credenciais de acesso do Google, assim como qualquer outra informação privada. 

Assim, as vítimas perdem a informação confidencial – provavelmente a propriedade intelectual das entidades de negócios que representam. Depois da operação, os criminosos cuidadosamente apagam suas ferramentas da rede do hotel e se escondem novamente.

Os pesquisadores da Kaspersky Lab indicaram que os atacantes deixam uma marca em uma cadeia dentro de seu código malicioso assinalando um vetor de língua coreana. Algumas dicas da provedora para superar a ameaça tocam: usar uma VPN (rede privada); suspeitar de pedidos de atualização de softwares; e utilizar ferramentas proativas de defesa.

Tags

Deixe uma resposta