Uma nova ameaça cibernética direcionada a diplomatas do Azerbaijão e Israel foi descoberta por especialistas da NSFOCUS, uma autoridade global em serviços de defesa contra ataques cibernéticos. O grupo, denominado Actor240524, utiliza métodos avançados para acessar e modificar dados, ocultando suas atividades para dificultar o rastreamento.
Estratégia de ataque
Os ataques começam com e-mails de phishing que contêm documentos do Microsoft Word infectados com macros maliciosas. Quando ativadas, essas macros instalam um intermediário chamado ABCloader, identificado como “MicrosoftWordUpdater.log”, que por sua vez baixa um malware conhecido como ABCsync (“synchronize.dll”). Esse malware estabelece comunicação com um servidor remoto, permitindo ao grupo hacker receber instruções e executar comandos à distância.
Técnicas avançadas de ocultação
O ABCsync é capaz de realizar uma série de operações, como a execução de shell remoto e a extração de informações do sistema. Para evitar detecção, o malware utiliza criptografia para esconder detalhes críticos e adota medidas anti-sandbox e anti-análise. Além disso, ele verifica se está sendo executado em ambientes protegidos, como máquinas virtuais, e evita operar em sistemas com menos de 200 processos ativos, o que ajuda a passar despercebido.
Impacto geopolítico
A campanha contra o Azerbaijão e Israel aponta para uma tentativa de interferir nas relações entre esses dois países, que possuem fortes laços econômicos e políticos. Raphael Tedesco, gerente de novos negócios da NSFOCUS, destaca a importância de monitorar e analisar o modus operandi do Actor240524: “É importante monitorar e analisar com detalhes o modelo de operação do Actor, pois à medida que eles obtêm sucesso contra Israel, um dos países que mais possui soluções para defesa cibernética, o grupo ganha ainda mais força para endereçar ataques para outros países, inclusive na América Latina.”
