A equipa de analistas da Kaspersky Lab publicou hoje um relatório de investigação detalhado onde analisa uma campanha de ciberespionagem levada a cabo pela organização cibercriminosa conhecida como "Winnti".

De acordo com o relatório da Kaspersky Lab, o grupo Winnti tem atacado empresas da indústria dos jogos online desde 2009 e atualmente continua ativo. Os objetivos do grupo são a aquisição de certificados digitais assinados pelos editores de software, além do roubo de propriedade intelectual, incluindo o código fonte dos projetos dos jogos online.


O primeiro incidente que chamou a atenção para as atividades maliciosas do grupo Winnti acontecer no Outono de 2011, quando um Trojan malicioso foi detetado num grande número de equipamentos em todo o mundo. O vínculo comum entre todos os utilizadores infetados era que jogavam o mesmo popular jogo online. Pouco depois do incidente, comprovou-se que o programa malicioso que tinha infectado os computadores dos utilizadores fazia parte de uma atualização periódica do servidor oficial da companhia de videojogos. Os utilizadores e os membros da comunidade de jogadores suspeitavam na altura que o editor do jogo instalou o malware para espiar os seus clientes. No entanto, mais tarde descobriu-se que o programa malicioso foi instalado por erro nos equipamentos dos utilizadores e que o ataque na realidade era dirigido à companhia de videojogos.

Em resposta, a companhia produtora de videojogos de cujos servidores se propagava o Trojan pediu à Kaspersky Lab que analisasse a amostra que os seus empregados tinham descoberto no servidor de atualizações. Verificou-se que era uma biblioteca DLL compilada para as versões de 64 bits do Windows. Esta biblioteca maliciosa afetava os equipamentos dos jogadores que usavam tanto a versão de 32 bits como a de 64 bits do sistema operativo.

A biblioteca DLL descoberta era uma ferramenta de administração remota totalmente funcional (RAT), que dá aos atacantes a capacidade de controlar o computador da vítima sem o conhecimento do utilizador. A descoberta foi significativa já que este Trojan foi o primeiro programa malicioso numa versão de 64 bits do Microsoft Windows 7 com uma assinatura digital válida.

A análise das amostras ao Winnti realizada pela Kaspersky permitiu determinar a quem era destinado este ficheiro malicioso. Mais de 30 empresas da indústria dos jogos online tinham sido infectadas pelo grupo Winnti, e a maioria era empresas de desenvolvimento de software que produzem jogos online no sudeste da Ásia. No entanto, as editoras de jogos online localizadas na Alemanha, Estados Unidos, Japão, China, Rússia, Brasil, Peru e Bielorrússia também foram identificadas como vítimas do grupo Winnti.

Além da espionagem industrial, os analistas da Kaspersky Lab identificaram três esquemas utilizados pelo grupo Winnti para gerar ganhos ilegais:

• Manipular a acumulação de moedas no jogo, como "runas" ou "ouro", que os jogadores utilizam para converter o dinheiro virtual em dinheiro real.
• Usar o código fonte roubado dos servidores dos jogos online em busca de vulnerabilidades para aumentar e acelerar a manipulação da moeda virtual e o seu saldo sem levantar suspeitas.
• Usar o código fonte roubado dos servidores com o objectivo de implementar os seus próprios servidores piratas.

Atualmente o grupo Winnti continua ativo e a investigação da Kaspersky Lab ainda decorre. A equipa de analistas da companhia tem estado a trabalhar de forma conjunta com a comunidade de segurança TI, com a indústria dos jogos online e com as autoridades de certificação para identificar outros servidores infetados enquanto colabora na revogação dos certificados digitais roubados.

Para aceder ao relatório completo da Kaspersky Lab a respeito da campanha do grupo Winnti visite Securelist.

Classifique este item
(0 votos)
Ler 1390 vezes

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Newsletter

Receba as notícias no seu e-mail

Top