Equipes de pesquisa em segurança divulgaram detalhes de uma campanha de spearphishing provavelmente realizada pelo grupo SideCopy, alinhado ao Paquistão, que tem como alvo o Ministério das Finanças do Afeganistão. O ataque utiliza um trojano de acesso remoto (RAT) de código aberto chamado Xeno RAT.
Descoberta e escopo
A campanha foi identificada por pesquisadores que analisaram o tráfego de rede e os artefatos deixados no sistema. O grupo SideCopy é conhecido por realizar operações de espionagem e sabotagem na região. O uso do Xeno RAT, que é de código aberto, sugere uma adaptação rápida e custo reduzido para as operações do grupo.
Vetor de ataque
O ataque começa com uma entrega via spearphishing, utilizando um arquivo ZIP contendo um arquivo LNK malicioso. O nome do arquivo foi cuidadosamente elaborado em Pashto para parecer legítimo e aumentar a probabilidade de o usuário clicar. O arquivo LNK executa um script que baixa e instala o Xeno RAT no sistema da vítima.
Evidências e limites
O Xeno RAT oferece funcionalidades padrão de acesso remoto, incluindo captura de tela, execução de comandos e manipulação de arquivos. A natureza de código aberto do malware permite que atacantes modifiquem o código para evitar detecção por antivírus tradicionais. No entanto, a falta de ofuscação avançada pode facilitar a análise forense.
Recomendações para CISOs
Organizações devem bloquear a execução de arquivos LNK de fontes não confiáveis e monitorar o tráfego de saída para servidores de comando e controle conhecidos. A conscientização dos usuários sobre phishing direcionado é fundamental, especialmente para setores críticos como finanças e governo.
Contexto regional
O ataque ocorre em um contexto de tensão geopolítica na região. Grupos vinculados ao Paquistão têm histórico de alvos governamentais no Afeganistão e na Índia. A segurança da informação deve ser uma prioridade para instituições financeiras e governamentais na região.