Kaspersky Lab descobre uma campanha de ciberespionagem activa dirigida a companhias de videojogos online

11 abr 2013
Notícias de Vírus

A equipa de analistas da Kaspersky Lab publicou hoje um relatório de investigação detalhado onde analisa uma campanha de ciberespionagem levada a cabo pela organização cibercriminosa conhecida como "Winnti".

De acordo com o relatório da Kaspersky Lab, o grupo Winnti tem atacado empresas da indústria dos jogos online desde 2009 e actualmente continua activo. Os objectivos do grupo são a aquisição de certificados digitais assinados pelos editores de software, além do roubo de propriedade intelectual, incluindo o código fonte dos projectos dos jogos online.

O primeiro incidente que chamou a atenção para as actividades maliciosas do grupo Winnti acontecer no Outono de 2011, quando um Trojan malicioso foi detectado num grande número de equipamentos em todo o mundo. O vínculo comum entre todos os utilizadores infectados era que jogavam o mesmo popular jogo online. Pouco depois do incidente, comprovou-se que o programa malicioso que tinha infectado os computadores dos utilizadores fazia parte de uma actualização periódica do servidor oficial da companhia de videojogos. Os utilizadores e os membros da comunidade de jogadores suspeitavam na altura que o editor do jogo instalou o malware para espiar os seus clientes. No entanto, mais tarde descobriu-se que o programa malicioso foi instalado por erro nos equipamentos dos utilizadores e que o ataque na realidade era dirigido à companhia de videojogos.

 

Em resposta, a companhia produtora de videojogos de cujos servidores se propagava o Trojan pediu à Kaspersky Lab que analisasse a amostra que os seus empregados tinham descoberto no servidor de actualizações. Verificou-se que era uma biblioteca DLL compilada para as versões de 64 bits do Windows. Esta biblioteca maliciosa afectava os equipamentos dos jogadores que usavam tanto a versão de 32 bits como a de 64 bits do sistema operativo.

A biblioteca DLL descoberta era uma ferramenta de administração remota totalmente funcional (RAT), que dá aos atacantes a capacidade de controlar o computador da vítima sem o conhecimento do utilizador. A descoberta foi significativa já que este Trojan foi o primeiro programa malicioso numa versão de 64 bits do Microsoft Windows 7 com uma assinatura digital válida.

A análise das amostras ao Winnti realizada pela Kaspersky permitiu determinar a quem era destinado este ficheiro malicioso. Mais de 30 empresas da indústria dos jogos online tinham sido infectadas pelo grupo Winnti, e a maioria era empresas de desenvolvimento de software que produzem jogos online no sudeste da Ásia. No entanto, as editoras de jogos online localizadas na Alemanha, Estados Unidos, Japão, China, Rússia, Brasil, Peru e Bielorrússia também foram identificadas como vítimas do grupo Winnti.

Além da espionagem industrial, os analistas da Kaspersky Lab identificaram três esquemas utilizados pelo grupo Winnti para gerar ganhos ilegais:

  • Manipular a acumulação de moedas no jogo, como "runas" ou "ouro", que os jogadores utilizam para converter o dinheiro virtual em dinheiro real.

  • Usar o código fonte roubado dos servidores dos jogos online em busca de vulnerabilidades para aumentar e acelerar a manipulação da moeda virtual e o seu saldo sem levantar suspeitas.

  • Usar o código fonte roubado dos servidores com o objectivo de implementar os seus próprios servidores piratas.

 Actualmente o grupo Winnti continua activo e a investigação da Kaspersky Lab ainda decorre. A equipa de analistas da companhia tem estado a trabalhar de forma conjunta com a comunidade de segurança TI, com a indústria dos jogos online e com as autoridades de certificação para identificar outros servidores infectados enquanto colabora na revogação dos certificados digitais roubados.

Para aceder ao relatório completo da Kaspersky Lab a respeito da campanha do grupo Winnti visite Securelist.

Os produtos da Kaspersky Lab detectam e neutralizam os programas maliciosos e suas variantes utilizados pelo grupo Winnti, classificados como Backdoor.win32.winnti, Backdoor.win64.winnti, Rootkit.win32.winnti e Rootkit.win64.winnti.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.