A equipe de pesquisa do ReversingLabs descobriu um novo ataque ao PyPI que utiliza o código Python compilado para evitar a detecção, considerado o primeiro ataque a explorar a execução direta do arquivo PYC.

A equipe do ReversingLabs descobriu um novo tipo de ataque que utiliza código Python compilado para evitar a detecção. Esse é o primeiro ataque direcionado à cadeia de suprimentos que se aproveita da execução direta dos arquivos de código de bytes (PYC) do Python. Esse incidente ocorreu durante um aumento de envios maliciosos para o PyPI (Python Package Index), representando um risco para a cadeia de suprimentos, já que muitas ferramentas de segurança ignoram esse tipo de ataque.

No dia 17 de abril de 2023, o pacote suspeito chamado fshec2 foi relatado à equipe de segurança do PyPI e prontamente removido do repositório. A equipe de pesquisa identificou o pacote como suspeito, revelando detalhes sobre o método utilizado pelos invasores para evitar detecção e compartilhando informações sobre a infraestrutura de comando e controle (C2) do malware, bem como evidências de ataques bem-sucedidos.

Detectação: comportamentos incomuns

A equipe do ReversingLabs realiza verificações regulares em repositórios de código aberto, buscando arquivos suspeitos. Durante uma varredura, eles encontraram o pacote fshec2, que chamou atenção devido a comportamentos incomuns. Ao descompilar o arquivo, foram observados comportamentos suspeitos, como URLs referenciando um endereço IP e a criação de processos. Uma revisão manual revelou que o pacote consiste em três arquivos, sendo que o terceiro, “full.pyc”, revelou comportamentos intrigantes, revelando a verdadeira natureza do pacote.

Figura 01: Arquivos contendo funcionalidade de pacote

Desmascarando um loader incomum

Agentes de ameaças estão buscando constantemente maneiras de evitar a detecção por soluções de segurança. O ReversingLabs identificou um aumento no volume de malware no PyPI nos últimos meses, e técnicas de ofuscação, como a execução de código malicioso codificado em Base64, que foi identificada pela primeira vez em campanhas associadas aos autores do W4SP em novembro de 2022. Variações desse tipo de ataque, nas quais o código malicioso é incorporado no código, mas deslocado para além dos limites visíveis da tela (ocultando-o da visualização), ainda são comumente encontradas.

O pacote fshec2 adota uma abordagem diferente, colocando a funcionalidade maliciosa em um único arquivo de código de byte Python compilado, evitando o uso de ferramentas de ofuscação. Em vez disso, ele coloca a funcionalidade maliciosa em um único arquivo que contém código de byte Python compilado.

Como os ataques do Python (geralmente) funcionam

Os ataques maliciosos usando Python geralmente envolvem arquivos Python de texto simples, arquivos Python compilados e arquivos Python compilados em executáveis nativos. Na maioria dos casos, os executáveis são baixados e executados pelos arquivos Python de texto simples, através de infraestruturas externas, em campanhas maliciosas usando pacotes do PyPI.

No entanto, o pacote fshec2 adota uma abordagem diferente. Ele contém um arquivo Python compilado chamado full.pyc, que contém funcionalidade maliciosa. A importação de uma função em main.py desencadeia uma técnica de carregamento inédita, utilizando o Importlib, que evita a detecção por ferramentas de segurança. Essa escolha reforça a intenção de evitar a detecção e sugere que o Importlib é utilizado com esse propósito, mesmo que a biblioteca carregada por main.py permaneça inalterada.

Figura 02: Carregamento do módulo Python compilado de main.py

Após o carregamento do módulo, o método get_path é invocado (mostrado na figura 03). Utilizando a ferramenta ReversingLabs Software Supply Chain Security, a equipe de pesquisa conseguiu detectar e extrair esse código a partir do arquivo PYC descompilado. O método get_path não é encontrado no pacote fshec2 original. Esse método executa funções maliciosas, como coletar nomes de usuário, nomes de host e listagens de diretórios, que são comumente observadas em outros pacotes maliciosos do PyPI. Além disso, o método procura por comandos definidos para execução por meio de tarefas agendadas ou cronjobs, dependendo da plataforma do host.

Figura 03: O código descompilado extraído do arquivo de código de byte compilado full.pyc mostrando o conteúdo do método get_path().

Os comandos buscados pelo método get_path são, na verdade, outro script Python que pode ser alterado (mostrado na figura 04). Durante a análise, a equipe de pesquisa observou que o script baixou e executou um segundo script Python chamado cron_script, localizado no mesmo host. O cron_script possuía funcionalidade semelhante ao script encontrado em full.pyc, o módulo Python compilado fornecido com o pacote PyPI.

Essa abordagem torna o ataque fshec2 altamente adaptável. O arquivo full.pyc contém a funcionalidade para baixar comandos de um servidor remoto, enquanto os comandos baixados são inseridos no cron_script, permitindo o download periódico de novos comandos. Essa flexibilidade permite que os invasores modifiquem o conteúdo dos comandos, possibilitando que o malware sirva novas instruções.

Figura 04: Código responsável por baixar o arquivo cron_script

Um host da Web mal configurado desiste das mercadorias

Durante a investigação do host utilizado no ataque, foram descobertas informações interessantes devido a erros de configuração cometidos pelos autores do malware. Ao tentar acessar uma página inválida no host, em vez de receber um erro 404, os visitantes foram apresentados a uma página de um aplicativo Django que listava vários comandos. Essa exposição acidental revelou detalhes sobre o funcionamento interno do software malicioso. (Consulte a Figura 05)

Figura 05: locais da web descobertos

Felizmente para nós, o aplicativo Django estava configurado no modo de depuração, o que exibia mensagens de erro detalhadas que nos forneceram uma lista abrangente dos caminhos no host acessíveis. Alguns desses caminhos já foram vistos nos scripts baixados usados no ataque, mas havia novos caminhos que não tínhamos encontrado antes, como “admin”, “uploaded_files” e “download”. Infelizmente, a trilha esfriou lá, porque todos os três caminhos exigem autorização para acessar a funcionalidade das respectivas páginas.

Figura 06: Formulário de download de arquivo protegido por senha

Apesar da equipe de pesquisa não ter acesso à senha, erros de configuração revelaram alguns detalhes importantes sobre o malware. Por exemplo, um dos comandos permitia o download de arquivos por meio de uma ID específica. Além disso, nomes de arquivo foram expostos, sem a necessidade de autorização. A presença desses erros sugere que o ataque não foi realizado por um ator estatal patrocinado ou uma Ameaça Persistente Avançada (APT).
Embora não haja evidências suficientes para confirmar essa suposição, foi possível determinar que o ataque teve sucesso em alguns casos, infectando pelo menos dois alvos com nomes de usuário e hosts específicos. Além disso, os nomes de arquivos sugerem que o malware pode ter funcionalidades de keylogging. No entanto, não pode ser descartada a possibilidade de que haja outros canais de distribuição além do pacote fshec2 no PyPI que ainda não foram descobertos.

Figura 07: Nomes dos arquivos que podem ser baixados

Conclusão

O pacote malicioso fshec2 e a infraestrutura C2 associada destacam como os autores de malware podem evitar facilmente a detecção por meio da análise do código-fonte. Os scripts de carregador, como os encontrados neste pacote, contém apenas uma quantidade mínima de código Python e têm como objetivo principal carregar um módulo Python compilado, que acaba sendo malicioso. A ferramenta de segurança padrão do PyPI, o Inspector, atualmente não oferece recursos para analisar arquivos binários em busca de comportamentos maliciosos. Portanto, foi necessário descompilar o código compilado do arquivo .pyc para identificar sua funcionalidade suspeita e maliciosa.

Figura 08: ferramenta Inspector fornecida pela equipe de segurança do PyPI

A descoberta do código malicioso no pacote fshec2 destaca a importância crescente de detectar funções maliciosas, como get_path, para equipes de segurança e DevSecOps. Muitas soluções de segurança de aplicativos não se concentram na segurança da cadeia de suprimentos ou realizam apenas análises de código-fonte durante a inspeção de segurança do pacote. Isso permite que o malware, oculto no código de byte compilado do Python, passe despercebido pelas soluções de segurança tradicionais.

A ReversingLabs Software Supply Chain Security oferece suporte à análise estática e descompactação de diversos formatos de arquivo binário, incluindo o tipo de código de byte Python compilado encontrado nesse ataque. Essa capacidade de analisar esse tipo de arquivo permite que os defensores extraiam indicadores de intenção maliciosa, tornando mais fácil a avaliação da segurança dos pacotes.

Figura 09: Indicadores de comportamento e strings de rede extraídos do arquivo PYC descompilado usando o ReversingLabs Software Supply Chain Security.

Essa abordagem inclui detecção de criação de processos, execução de arquivos, coleta de informações confidenciais, presença de endereços IP e muito mais. A simples varredura do código-fonte de pacotes de código aberto não será suficiente para identificar esse tipo de ameaça. À medida que os invasores se tornam mais avançados e exploram suas vantagens, torna-se necessário utilizar ferramentas mais avançadas para garantir a segurança contínua de seu código e infraestrutura de desenvolvimento de software.

Indicadores de comprometimento (IoCs)

Servidor C2:

13.51.44.246

Compreender e contextualizar as atividades cibernéticas maliciosas associadas aos grupos de invasão cibernética do Irã durante o período de 2022-2023. Embora não forneça uma lista completa de campanhas ou grupos de invasão específicos, este relatório oferece uma análise estratégica abordando a ameaça cibernética originada do Irã. As informações contidas têm como data limite o dia 5 de maio de 2023.

Contexto

A República Islâmica do Irã mantém uma doutrina de ofensiva cibernética não divulgada publicamente. No entanto, com base em observações de suas capacidades, é possível identificar três objetivos estratégicos alinhados com seus interesses geopolíticos. Primeiramente, o Irã utiliza operações cibernéticas para manter a estabilidade interna, monitorando dissidentes políticos e ativistas considerados vetores de influência estrangeira. Em segundo lugar, busca proteger seu território nacional contra ameaças militares e cibernéticas, empregando operações de espionagem cibernética para coletar informações sobre intenções adversárias. O terceiro objetivo é utilizar operações cibernéticas como uma ferramenta para promover e proteger sua influência regional na política externa.

O Irã tem sido alvo de várias operações cibernéticas, o que influencia sua estratégia, pois frequentemente conduz operações de retaliação. A origem do uso iraniano de operações cibernéticas ofensivas está relacionada ao Movimento Verde de 2009 e à detecção do Stuxnet em 2010. Esses eventos destacaram a importância da vigilância da internet para manter a estabilidade do regime e mostraram o potencial das operações cibernéticas ofensivas.

Nos anos de 2022 e 2023, o Irã enfrentou desafios geopolíticos elevados que podem impactar sua estratégia cibernética. A eleição do presidente Ebrahim Raisi em 2021 trouxe ao poder conservadores radicais, afetando as negociações do acordo nuclear JCPOA e intensificando as tensões com países ocidentais. Além disso, o envolvimento iraniano no fornecimento de armas à Rússia durante o conflito russo-ucraniano alimentou os confrontos políticos. Desafios internos, como instabilidade econômica e protestos civis, também afetaram o país. Em abril de 2023, o anúncio de retomada das relações diplomáticas entre Teerã e Riad, após o rompimento em 2016, foi uma iniciativa facilitada pela China.

Organização Iraniana de ofensiva cibernética

A República Islâmica do Irã possui uma capacidade operacional de ciberataques que é principalmente conduzida por dois de seus principais órgãos de inteligência e segurança: o Corpo da Guarda Revolucionária Islâmica (IRCG) e o Ministério da Inteligência (MOIS).

Corpo da Guarda Revolucionária Islâmica

O IRGC (Corpo de Guardiões da Revolução Islâmica) é um ramo das Forças Armadas do Irã estabelecido após a Revolução Iraniana de 1979. É uma milícia ideologicamente orientada e responsável pela proteção do sistema político da República Islâmica. Os principais cargos dentro do IRGC são nomeados pelo líder supremo, Ali Khamenei, garantindo uma relação de subordinação direta a ele e contornando o papel do presidente. O IRGC é considerado uma força militar de elite, com divisões especializadas em operações terrestres, aeroespaciais, navais e ciberespaciais. Além disso, o IRGC inclui a milícia voluntária paramilitar Basij e uma unidade especial chamada Quds, ambas relatadas como envolvidas em operações cibernéticas ofensivas.

O IRGC (Corpo de Guardiões da Revolução Islâmica) possui grupos de invasão cibernética associados, como APT35, APT42, Nemesis Kitten e Cotton Sandstorm. Esses grupos têm como alvo entidades governamentais, militares, energéticas, de transporte marítimo e de pesquisa estrangeiras, incluindo think tanks, ONGs e acadêmicos que lidam com assuntos relacionados ao Irã e ao Oriente Médio. Utilizam principalmente técnicas de spear phishing em mídias sociais como vetor inicial e têm objetivos estratégicos, como espionagem, sabotagem, operações de informação e, em menor escala, objetivos lucrativos.

De acordo com a Sekoia.io e outros fornecedores de segurança cibernética, o APT35 é avaliado como sendo operado pela Organização de Inteligência do IRGC (IRGC-IO). Ele é composto por vários aliases ou subgrupos, como Charming Kitten, ITG18, TA453 e Cobalt Mirage. Além disso, o recém-exposto APT42 é um conjunto de intrusão focado em indivíduos que trabalham para ONGs e think tanks. A Sekoia.io avalia que Nemesis Kitten também faz parte do cluster APT35.

Ministério da Inteligência

O Ministério da Inteligência da República Islâmica do Irã (MOIS em inglês, ou VEVAK para sua sigla farsi), é o principal serviço de inteligência estrangeiro. Ele sucedeu o SAVAK, serviço de inteligência do regime anterior do Xá. É responsável por operações no exterior e pela vigilância interna. Suas atribuições frequentemente se cruzam com as do IRGC, havendo uma relação competitiva entre as duas entidades.

O MOIS (Ministério da Inteligência e Segurança) é responsável pela inteligência de sinais e coleta de informações de comunicações eletrônicas no Irã. Ao contrário do IRGC, o MOIS é subordinado ao presidente, não ao líder supremo. Embora ambas as estruturas tenham como objetivo proteger o regime, o MOIS é considerado mais técnico e menos ideológico em comparação com o IRGC.

Os conjuntos de intrusão ativa associados ao MOIS, como MuddyWater, Oilrig (também conhecido como APT34), Hexane, Agrius e o recentemente exposto DarkBit (também conhecido como DEV-1084), concentram-se principalmente em setores como governo, energia, telecomunicações e transporte marítimo. Esses grupos realizam operações cibernéticas ofensivas com o propósito de espionagem, sabotagem e influência.

Os conjuntos de intrusão ativa MuddyWater, Oilrig e Hexane provavelmente são operados diretamente por agentes do MOIS, uma vez que foram observadas sobreposições em suas técnicas, táticas e procedimentos (TTPs), bem como coordenação de tempo operacional, de acordo com analistas da Sekoia.io. Não está claro se o DarkBit (também conhecido como DEV-1084) é um subgrupo do MuddyWater ou um conjunto de intrusão recém-observado que realiza operações pós-intrusão e destrutivas.

Empreiteiros, empresas privadas e universidades associadas às operações cibernéticas do Irã

Há relatos de que as organizações cibernéticas do Irã contratam empresas privadas e institutos ligados a universidades para conduzir operações de ofensiva cibernética tanto no país quanto no exterior. Essas contratações são utilizadas para ataques altamente técnicos e operações de influência em mídias sociais domésticas.

O conjunto de intrusão Nemesis Kitten, associado ao cluster APT35 e operado pelas empresas privadas Afkar System e Najee Technologies, contratadas pelo IRGC-IO, é observado realizando atividades estratégicas de espionagem, bem como campanhas lucrativas de ransomware. Não está claro se as atividades lucrativas fazem parte de um mandato do IRGC-IO ou se as empresas as realizam visando seu próprio lucro.

Outro exemplo de empresas privadas contratadas é a Emennet Pasargad, associada ao conjunto de intrusões Cotton Sandstorm (ex-NEPTUNIUM), avaliada por conduzir operações de espionagem e influência ideológica em nome da IRGC-Electronic Warfare and Cyber Defense Organisation.

O Ministério da Inteligência também faz uso de empreiteiros, como a Ravin Academy, uma empresa cofundada por ex-gerentes da MuddyWater e Oilrig, responsável pelo treinamento e recrutamento de operadores ofensivos para o MOIS.

A Sekoia.io tem conhecimento de ex-contratados como o Mabna Institute, Rana Institute, ITSecTeam, Ashiyane Security Team e Shadid Beheshti University, todos envolvidos no passado com operações cibernéticas no Irã. No entanto, conjuntos de intrusão associados a esses contratados não foram observados como ativos durante o período de 2022-2023.

Objetivos das operações cibernéticas do Irã

Vigilância cibernética doméstica e espionagem estratégica

O Irã realiza operações cibernéticas com o objetivo de coletar inteligência estratégica, principalmente direcionada a Estados vizinhos que são rivais geopolíticos, como Israel, Arábia Saudita e países do Golfo Pérsico. Um exemplo notável é o conjunto de intrusão Oilrig, que foi observado visando o Ministério das Relações Exteriores da Jordânia em março de 2022, utilizando o malware Saitama. Essas operações de espionagem são mantidas em sigilo, e poucos detalhes sobre o escopo das violações ou os recursos afetados estão disponíveis publicamente.

A vigilância doméstica também é uma área de interesse para os conjuntos de intrusão ligados ao Irã. Conjuntos como APT35, APT42, Gatinho Doméstico e Água Lamacenta foram observados conduzindo atividades de vigilância interna. O conjunto de intrusão Domestic Kitten, por exemplo, realiza operações de vigilância móvel de longo prazo contra cidadãos iranianos. Outro exemplo é o uso do malware TelegramGrabber pelo APT35, detalhado pela PWC em agosto de 2022, que visa principalmente indivíduos com números de celular que pertencem ao Irã. É importante ressaltar que a vigilância doméstica se concentra especialmente na espionagem móvel, evidenciado pelo uso de malware como FurrBall e TelegramGrabber.

Operações cibernéticas destrutivas

O Irã é conhecido por realizar operações destrutivas, já que o primeiro ataque cibernético documentado pelo Irã, Shamoon 2012, alavancou um limpador destrutivo que teve um forte impacto na empresa saudita Saudi Aramco. O ataque foi mais tarde interpretado como uma retaliação a um aliado dos EUA pela operação Stuxnet.

Entre 2022 e 2023, os grupos de intrusão Irã-nexo continuaram a conduzir campanhas destrutivas com uma evolução operacional : o uso de frentes hacktivistas reivindicando responsabilidade e justificando a operação. Em julho de 2022, uma frente chamada HomeLand Justice assumiu a autoria de atividades disruptivas e destrutivas que afetaram o governo albanês. A operação foi atribuída principalmente aos grupos de intrusão Oilrig e Hexane, que atuam em nome do Ministério da Inteligência.

A personna DarkBit é outro exemplo. Em fevereiro de 2023, a MuddyWater realizou uma operação direcionada ao Instituto de Tecnologia Technion Israel, sediado em Haifa, usando uma falsa operação de ransomware como disfarce para uma ação destrutiva, utilizaram uma frente chamada “grupo DarkBit”. De acordo com informações da Microsoft, dois conjuntos de intrusão estiveram envolvidos nessa operação. MuddyWater carregou a intrusão inicial e entregou acesso ao conjunto de intrusão DarkBit (também conhecido como DEV-1084), que realizou um extenso reconhecimento, estabeleceu persistência e se moveu lateralmente antes de lançar um comando destrutivo.

É importante notar que essa é a primeira vez em que um conjunto de intrusão distinto é usado para atividades pós-intrusão e destrutiva. Sekoia.io analistas do TDR avaliam que o uso de frentes borradas para operações destrutivas provavelmente prosseguirá e aumentará, dado o aumento geral do uso de frente por conjuntos de intrusão Irã-nexus, notadamente para conduzir operações de informação.

Operações de informações Iranianas

As operações de informação lideradas por atores iranianos aumentaram consideravelmente em 2022 e 2023, visando promover e garantir a influência regional do Irã.

O grupo Cotton Sandstorm (anteriormente conhecido como NEPTUNIUM) é um dos mais ativos nesse tipo de operação. Operado pela Emennet Pasargad em nome da IRGC-Electronic Warfare and Cyber Defense Organisation, o Cotton Sandstorm foi acusado de realizar uma operação de informação em 2020 voltada para a equipe próxima a Donald Trump, com o objetivo de influenciar as eleições presidenciais dos EUA. Desde então, o grupo conduziu outras operações de informação significativas.

Em janeiro de 2023, o Cotton Sandstorm realizou uma operação de informação direcionada ao jornal francês Charlie Hebdo, extraindo dados de clientes. Em fevereiro de 2023, eles se passaram por uma persona chamada Al-Toufan e lançaram uma campanha de desfiguração contra o site de notícias do Bahrein, possivelmente para instigar protestos contra o governo alinhado com a Arábia Saudita. Além disso, o grupo teve como alvo Israel, incitando a resistência palestina e promovendo contra-narrativas contra a normalização das relações diplomáticas entre países árabes e Israel. Cada operação do Cotton Sandstorm foi amplificada por contas falsas nas redes sociais, disseminando sua narrativa.

Avalia-se que os conjuntos de intrusão Agrius, Oilrig e, em particular, Cotton Sandstorm, continuarão e aumentarão as operações de informação, utilizando frentes, com foco em países vizinhos adversários geopolíticos do Irã, como membros do Conselho de Cooperação do Golfo e Israel.

Operações lucrativas originárias do Irã

Até o momento, apenas dois conjuntos de intrusão foram associados a operações lucrativas: o Fox Kitten e o Nemesis Kitten. Esses grupos são suspeitos de serem operados por empresas privadas contratadas pelo IRGC.

O Nemesis Kitten, parte do cluster APT35, é operado por duas empresas privadas contratadas pelo IRGC. Em maio de 2022, ele foi acusado pela CISA dos Estados Unidos de realizar uma campanha de ransomware e mineração de criptomoedas de longo prazo, explorando uma vulnerabilidade do Log4J. Ainda não está claro se essa atividade lucrativa fazia parte do mandato do IRGC ou se era uma iniciativa tolerada conduzida pelas empresas Afkar System e Najee Technology como uma atividade secundária. Poucos detalhes adicionais estão disponíveis sobre as operações lucrativas desses conjuntos de intrusão.

Vitimologia Geográfica e Econômica

Setores mais impactados

Energia: O setor de energia é um alvo histórico para o Irã. Ao longo do tempo, o APT33 associado ao IRGC alavancou o malware destrutivo Shamoon para várias operações (2012, 2018, 2020), impactando a Saudi Aramco, o ativo econômico mais importante para a Arábia Saudita, um dos rivais regionais do Irã. A energia ainda é um alvo importante para conjuntos de intrusão de nexo Irã, mas poucos casos recentes (2022-2023) de código aberto estão disponíveis devido à natureza estratégica das entidades impactadas. Em abril de 2023, a Microsoft publicou sobre o APT35 associado ao IRGC, descrito como um conjunto de intrusão capaz de atingir diretamente a infraestrutura crítica dos EUA, incluindo empresas de energia e uma grande entidade de serviços públicos e gás dos EUA.

Telecomunicações: Desde o final de 2021, o setor de telecomunicações é cada vez mais impactado por conjuntos de intrusão de conexão Irã-Irã. Recentemente, em janeiro de 2023, a Microsoft identificou uma campanha de spear phishing da MuddyWater visando funcionários de operadoras de telecomunicações do Oriente Médio, o que concorda com as descobertas da Talos sobre os interesses da MuddyWater para um provedor de serviços de Internet armênio. Esse foco também foi compartilhado pela Hexane, que conduziu uma campanha de espionagem visando operadoras de telecomunicações com sede na Arábia Saudita, Tunísia, Marrocos e Israel no início de 2022. Sekoia.io avaliar que esse foco está possivelmente relacionado ao mandato MOIS SIGINT, já que esse setor é mais impactado por conjuntos de intrusão associados ao MOIS.

Transporte marítimo: Em 2022, o setor de transportes e, em particular, o transporte marítimo foram impactados pelas operações cibernéticas do Irã. Desde pelo menos julho de 2022, a APT35 realizou uma operação de espionagem visando funcionários de uma empresa de navegação e serviços marítimos com sede no Egito. Ao mesmo tempo, o UNC3890, um conjunto de intrusões Sekoia.io avaliar parte do cluster APT35, se concentrou em entidades de Israel, incluindo empresas de navegação marítima. Anteriormente, em dezembro de 2021, a Microsoft informou sobre o Irã-nexo DEV-0343, um conjunto de intrusão visando notavelmente portos de entrada do Golfo Pérsico e empresas globais de transporte marítimo com presença comercial no Oriente Médio. Sekoia.io avaliam com alta confiança que o setor de transporte marítimo é um alvo primário para conjuntos de intrusão associados ao IRGC, já que o Golfo Pérsico e o estreito de Ormuz são áreas críticas que devem cair no mandato do IRGC.

Infraestrutura crítica: De acordo com a avaliação de várias agências dos EUA referente a ameaças cibernéticas, os conjuntos de intrusão de conexão com o Irã são capazes de impactar as infraestruturas críticas dos EUA. No entanto, muito poucos alvos de infraestrutura podem ser observados em código aberto, além de uma operação originada no Irã com o objetivo de interromper e supostamente adulterar o fornecimento de água de Israel em junho de 2020.

Indivíduos ligados a ONGs, think tanks (fábricas de ideias) e universidades

Segundo a Sekoia.io no TDR, há uma tendência de direcionamento a indivíduos envolvidos em pesquisas relacionadas ao Oriente Médio e ao Irã. Isso inclui acadêmicos, membros de ONGs e funcionários de think tanks financiados pelo Ocidente. O conjunto de intrusão APT42, pertencente ao cluster APT35, concentra-se especificamente nesses alvos, como membros da equipe e ativistas da Human Rights Watch, bem como comentaristas políticos especializados em sanções e política de financiamento do terrorismo. A intrusão inicial geralmente envolve engenharia social avançada, como criação de perfis falsos ou contato progressivo, levando em consideração o perfil social das vítimas.

Regiões mais impactadas

As ameaças cibernéticas provenientes do Irã têm como alvos principais o Oriente Médio, com ênfase em Israel. No entanto, as publicações de código aberto não fornecem detalhes específicos sobre os países afetados, dificultando uma compreensão precisa dos estados impactados.

Além disso, as operações cibernéticas originadas do Irã aumentaram nos Estados Unidos durante o período de 2022-2023. Conjuntos de intrusão associados ao IRGC, como o APT35, estão ampliando suas operações direcionadas aos EUA. Embora a União Europeia e os Balcãs também sejam impactados em menor escala, há evidências de atividades disruptivas e destrutivas, como ocorreu no governo albanês. Isso ressalta o impacto que o Irã pode ter em países com níveis moderados de segurança cibernética.

Evolução recente da ameaça cibernética do Irã

Os conjuntos de intrusão com ligações ao Irã têm demonstrado um aumento em suas habilidades técnicas e capacidade de reagir rapidamente a vulnerabilidades divulgadas publicamente. Alguns grupos têm mostrado ser reativos a informações divulgadas pela imprensa, como no caso da Oilrig, cujas táticas vazaram parcialmente em um canal do Telegram. Houve também uma colaboração ativa entre conjuntos de intrusão associados à mesma estrutura, como observado na campanha na Albânia, que envolveu grupos como Hexane e Oilrig.

Além disso, o APT35 tem demonstrado rápida exploração de vulnerabilidades publicamente divulgadas, agindo dias após sua divulgação. Anteriormente, o grupo levava semanas para desenvolver exploits. Essa melhoria pode ser atribuída a iniciativas como a Ravin Academy, que facilitam a troca de operadores e táticas entre os grupos associados à MOIS.

Outro exemplo é o conjunto de intrusão Plaid Rain, sediado no Líbano, que suspeita-se estar coordenando suas atividades com outros atores afiliados à MOIS. Isso seria consistente com as conexões dos serviços de inteligência iranianos com grupos políticos xiitas, como o Hezbollah, que agora incluem atividades de inteligência cibernética.

Perspectivas Cibernéticas Iranianas

De acordo com a avaliação da Sekoia.io, é provável que a ameaça cibernética do Irã continue a se expandir nos próximos anos. Isso se deve ao avanço contínuo das capacidades técnicas e operacionais do país, impulsionado pelo contexto geopolítico atual, incluindo confrontos com Israel, países ocidentais e aliados, devido ao retorno dos ultraconservadores ao poder no Irã.

O confronto geopolítico deve persistir com membros do Conselho de Cooperação do Golfo, como a Arábia Saudita, apesar da normalização das relações diplomáticas entre eles. O Irã provavelmente continuará a realizar grandes operações cibernéticas destrutivas e usar frentes de ciber pessoal para amplificar suas operações de informação, visando reforçar sua influência regional e legitimar sua narrativa contra adversários geopolíticos.

Setores como operadores de telecomunicações no Oriente Médio e transporte marítimo serão alvos contínuos do MOIS e do IRGC, respectivamente. Essas ações fazem parte de uma estratégia de pré-posicionamento, visando garantir a capacidade do Irã em um potencial conflito aberto, onde a navegação e as telecomunicações no Golfo Pérsico desempenhariam um papel crítico para o país.

Diagrama organizacional parcial do IRGC a partir de dados vazados

Sumário executivo

Recentemente, uma série de ataques direcionados a instituições europeias com vínculos ao Sudeste e Leste Asiático tem sido atribuída ao Camaro Dragon, uma ameaça cibernética associada a operações de espionagem alinhadas aos interesses chineses. O Camaro Dragon está relacionado ao grupo de ameaças patrocinado pelo Estado conhecido como Mustang Panda. A Check Point Research tem acompanhado esses ataques e publicou um relatório detalhado sobre o backdoor MQsTTang, que revelou a presença de firmware malicioso em roteadores TP-Link. Esse firmware contém um implante personalizado chamado Horse Shell, que permite acesso persistente e a criação de uma infraestrutura anônima usando os roteadores comprometidos. Este relatório fornece uma análise detalhada de um backdoor previamente desconhecido, mas relacionado a esse conjunto de atividades, compartilhando uma infraestrutura comum e o objetivo de coletar informações de alto nível.

Principais conclusões

Um backdoor até então desconhecido chamado TinyNote foi encontrado em um dos servidores de distribuição do Camaro Dragon, além de ser visto na natureza. As amostras desse malware se comunicam com outros servidores de comando e controle (C&C) conhecidos, atribuídos ao Camaro Dragon.

O TinyNote é distribuído com nomes relacionados a assuntos de relações exteriores e tem como alvo potencial embaixadas do Sudeste e Leste Asiático.

O backdoor realiza uma evasão do antivírus indonésio SmadAV, uma ferramenta de segurança popular em países do sudeste asiático, como Mianmar e Indonésia. Essa evasão parece ser direcionada a um subconjunto específico dos alvos dessa campanha.

O backdoor TinyNote é um malware de primeiro estágio, limitado à enumeração básica de máquinas e à execução de comandos via PowerShell ou Goroutines. No entanto, ele se destaca pela sua redundância, buscando garantir uma posição firme na máquina infectada. Isso inclui a configuração de várias tarefas de persistência, a comunicação com diferentes servidores C&C e a utilização de diferentes tipos de execução de comandos C&C.

Introdução

Foi descoberto que alguns servidores relacionados ao Camaro Dragon expuseram ferramentas e arquivos de agentes maliciosos, protegidos apenas por uma Autorização HTTP básica com senha conhecida. Entre essas ferramentas, uma nova backdoor chamada TinyNote foi encontrada, juntamente com o Autoruns by Sysinternals e o HRSWord, uma ferramenta de proteção chinesa usada para desabilitar ferramentas de proteção de endpoint.
Essa backdoor usa nomes de arquivos relacionados a assuntos externos e possui um ícone de pasta para disfarçar seu verdadeiro propósito, seguindo a mesma convenção de nomenclatura usada pelo backdoor MQsTTang. O TinyNote foi desenvolvido na linguagem de programação Go e contém uma referência à infraestrutura militar de Mianmar em suas informações de direitos autorais e compilação. Além disso, foram encontrados indícios do interesse dos atores em entidades governamentais de Taiwan.

A backdoor permite que os atores obtenham informações da máquina infectada, configurem a persistência e executem comandos do servidor C&C de duas maneiras diferentes. Apesar de sua simplicidade, o TinyNote utiliza métodos para evitar a detecção por soluções antivírus específicas, indicando que os atores enfrentaram dificuldades para se posicionar em ambientes específicos.

Evasão SmadAV

Durante a execução inicial, o malware realiza uma função chamada bypassSMADAV para contornar o antivírus Smadav, que é popular na Indonésia, Sudeste Asiático e países africanos. A presença desse código destinado especificamente a contornar o Smadav confirma a natureza direcionada das campanhas do Camaro Dragon e sua familiaridade com as soluções de segurança utilizadas pelas vítimas. Em operações anteriores, os atores também exploraram o Smadav, forçando-o a carregar uma DLL maliciosa. Quando um novo processo é iniciado no sistema, o Smadav verifica as janelas abertas em busca de problemas, e se uma janela estiver visível, o ID do processo proprietário é adicionado a uma matriz.

Figura 01: Código SmadAV que coleta uma lista de PIDs que possuem janelas associadas.

Após verificar todas as janelas abertas, o antivírus Smadav compara o ID do processo recém-criado com os IDs armazenados em uma matriz. Se nenhum correspondente for encontrado, indicando que o novo processo não possui janelas visíveis, o antivírus considera o processo como malicioso e exibe um pop-up sugerindo o bloqueio. No entanto, os agentes de ameaças contornaram essa verificação ao criar uma janela sem nome de janela, mas com o nome de classe “EDIT”. Essa janela tem atributos especiais que a tornam aparentemente visível para a função de verificação, embora não seja exibida ao usuário e não apareça na barra de tarefas ou na alternância de janelas. Isso permite que o malware evite ser detectado pela verificação do antivírus.

Figura 02: Um pedaço de código de malware cria uma janela especialmente criada para contornar o smadAV.

Os agentes ameaçadores encontraram uma maneira de contornar a necessidade de chamar a função RegisterClass ao criar uma janela no Windows. Eles usaram um nome de classe padrão que permite criar a janela usando a função CreateWindowEx sem registrar uma classe anteriormente. Essa abordagem permite que a janela recém-criada seja considerada tecnicamente visível, permitindo que o backdoor continue sua execução sem ser interrompido.

Figura 03: Detecção de SmadAV no backdoor Go com a função bypassSMADAV removida.

Fluxo de execução backdoor

O malware cria um mutex chamado “NASA e USA” e, em seguida, inicia dois modos de operação. No primeiro modo, o malware se concentra em garantir a persistência, estabelecer um backdoor do PowerShell e “instalar” malware adicional. Ele começa verificando se a cadeia de caracteres “zip” está presente no caminho do arquivo. Se essa cadeia não for encontrada, o fluxo de execução continua. Em seguida, cria o diretório “c:\programdata\Robots” e as tarefas agendadas “test” e “test2”. Assim, o malware passa para o segundo modo de operação, no qual busca recuperar e executar comandos do PowerShell. Para isso, ele obtém os comandos a partir do arquivo “robots.txt” hospedado em diversos servidores C&C. Essa abordagem distribuída diminui a dependência de um único ponto de falha.

No momento da execução, ambos os servidores retornaram o mesmo código apontando para o terceiro servidor.

A carga final retornada é um backdoor leve do PowerShell, que recupera uma lista de comandos do cabeçalho CMD da resposta do servidor C&C, executa-os com Invoke-Expression, concatena as saídas com a cadeia de caracteres ‘n1w’ e os envia de volta ao servidor na solicitação POST.

O malware então copia a si mesmo para o arquivo zip com o nome [16 caracteres aleatórios].zip em c:\users\public, e também cria outra cópia de si mesmo para o caminho usando o nome zip como uma pasta, por exemplo, c:\users\public\pMiOxI3G44Igrpq7.zip. Tanto o arquivo dentro do zip quanto a cópia descompactada do arquivo recebem o mesmo nome gerado aleatoriamente [5 caracteres aleatórios].exe, por exemplo, 8q3Fj.exe.

Por fim, o malware cria uma tarefa agendada para executar sua cópia a partir de um caminho aleatório.

Segundo modo: a backdoor

Após obter persistência no sistema e ser executado a partir de um arquivo ZIP, o malware realiza as seguintes etapas:

1. Coleta informações do sistema, como o nome de usuário atual, pasta base do nome de usuário e interfaces de rede.
2. Os dados coletados são concatenados em uma sequência de caracteres.
3. A sequência de caracteres é criptografada usando um algoritmo XOR simples com a chave “NASA”.
4. Em seguida, a sequência de caracteres criptografada é codificada em Base64.
5. O malware seleciona aleatoriamente uma URL de comando e controle (C&C) entre as três disponíveis.
6. É construída uma solicitação GET usando a URL selecionada, incluindo a sequência de caracteres criptografada e codificada como parâmetro.

Os dados de enumeração codificados são armazenados em um cookie chamado “SSN”. Outros cabeçalhos na solicitação são construídos a partir de valores aleatórios servais. O cabeçalho do nome do host é selecionado a partir da seguinte lista:

• Google
• Facebook
• Gstatic
• Twitter

O agente do usuário também é aleatório e é selecionado na lista a seguir:

• Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
• Mozilla/5.0 (iPhone; CPU iPhone OS 12_0_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) Versão/12.0 Mobile/15E148 Safari/604.1
• Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:63.0) Gecko/20100101 Firefox/63.0
• Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/104.0.0.0 Safari/537.36

O resultado esperado do servidor é um JSON com a seguinte estrutura:

Após a validação e decodificação JSON e Base64, o malware inicia uma Goroutine que executa o comando especificado e continua a aguardar por mais comandos em um loop.

Atribuição

Além da descoberta de uma das versões backdoor foi encontrada no servidor de distribuição do Camaro Dragon, há outras conexões significativas entre os atores e o malware:

• O servidor 103.159.132[.] 91, onde uma das versões do malware foi inicialmente encontrada, atuava como servidor (C&C) do backdoor, e também foi usado como servidor de distribuição para o backdoor MQsTTang durante o mesmo período.
• Outro servidor de C&C, 103.169.90[.] 132, é conhecido por ser utilizado pelos atores ameaçadores.
• A vitimologia e as iscas usadas são consistentes com as campanhas recentes do Camaro Dragon, incluindo a atividade relacionada ao backdoor MQsTTang. Além disso, os atores continuam utilizando o ícone de “pasta” e uma convenção de nomenclatura específica para alguns de seus backdoors, o que tem sido observado desde o início de 2023.

O terceiro servidor de comando e controle (C&C), com o endereço IP 5.188.33[.]190, possui certificados SSL exclusivos com os nomes alternativos mail.mofa.gov.tw, intra.mofa.gov.tw e *.mofa.gov.tw. Há outro servidor, com o mesmo certificado, localizado no endereço IP 23.106.123[.]59, que atualmente redireciona para a infraestrutura oficial do governo de Taiwan, mas é provável que esse servidor também tenha sido utilizado pelos atores ameaçadores para realizar ataques adicionais.

Conclusão

O backdoor TinyNote utilizado pelo grupo Camaro Dragon demonstra uma abordagem altamente direcionada e uma pesquisa extensiva antes de comprometer os sistemas de suas vítimas. Embora o backdoor em si não seja complexo tecnicamente, ele emprega diversas táticas notáveis para estabelecer uma presença inicial nos sistemas comprometidos. Isso inclui o uso da linguagem de programação Golang, que não havia sido observada anteriormente nas ferramentas do grupo. O backdoor tem funcionalidades mínimas e foi projetado para evitar a detecção de um software antivírus específico comumente instalado em potenciais alvos. A utilização simultânea desse backdoor juntamente com outras ferramentas de diferentes níveis de sofisticação técnica indica que o grupo está ativamente buscando diversificar seu arsenal de ataques.

IOCs

Os Clientes Check Point continuam protegidos

A emulação de ameaças oferece uma ampla cobertura de táticas de ataque, tipos de arquivos e sistemas operacionais, impulsionada pela inteligência artificial do ThreatCloud da Check Point. O ThreatCloud atua como o cérebro por trás de todas as soluções de segurança da Check Point.

O Doctor Web descobriu um módulo de software para Android chamado Android.Spy.SpinOk, que possui características de spyware. Esse módulo é distribuído como um SDK de marketing e pode ser incluído em vários tipos de aplicativos e jogos, inclusive naqueles disponíveis no Google Play.

O SpinOk aparenta ser um SDK com minijogos, sistema de tarefas e promessas de prêmios para atrair usuários. No entanto, esse SDK malicioso tem um comportamento oculto. Quando é iniciado, ele estabelece uma conexão com um servidor (C&C), enviando uma solicitação com informações técnicas detalhadas sobre o dispositivo infectado.

Essas informações incluem dados de sensores, como giroscópio e magnetômetro, para identificar se está sendo executado em um ambiente de emulação e evitar a detecção por pesquisadores de segurança. Além disso, o módulo é projetado para ignorar as configurações de proxy do dispositivo, permitindo ocultar as conexões de rede durante a análise. Em resposta, o módulo recebe uma lista de URLs do servidor, que são exibidos em um WebView para mostrar banners de publicidade.

Abaixo estão exemplos de anúncios exibidos pelo Android.Spy.SpinOk:

Simultaneamente, esse SDK de Trojan amplia os recursos do código JavaScript executado em páginas da web que contêm anúncios. Ele adiciona diversos recursos a esse código, incluindo a capacidade de:

• Obter a lista de arquivos em diretórios específicos.
• Verificar se um arquivo ou diretório específico está presente no dispositivo.
• Obter um arquivo do dispositivo.
• Copiar ou substituir o conteúdo da área de transferência.

A empresa Doctor Web descobriu o módulo Trojan Android.Spy.SpinOk, que permite que os operadores coletem informações e arquivos confidenciais de dispositivos Android. Esse módulo foi identificado em vários aplicativos distribuídos através do Google Play. Até o momento, ele foi encontrado em 101 aplicativos, com mais de 421 milhões de downloads acumulados. Isso significa que centenas de milhões de usuários correm o risco de serem vítimas de espionagem cibernética. A Doctor Web já informou o Google sobre essa ameaça.

Abaixo estão os nomes dos 10 programas mais populares encontrados para carregar o Android.Spy.SpinOk trojan SDK:

• Noizz: editor de vídeo com música (pelo menos 100.000.000 downloads)
• Zapya - transferência de arquivos, compartilhar (pelo menos 100.000.000 de downloads; o módulo trojan estava presente na versão 6.3.3 para a versão 6.4 e não está mais presente na versão atual 6.4.1)
• VFly: editor de vídeo e criador de vídeo (pelo menos 50.000.000 downloads)
• MVBit – criador de status de vídeo MV (pelo menos 50.000.000 de downloads)
• Biugo - criador de vídeo e editor de vídeo (pelo menos 50.000.000 downloads)
• Crazy Drop (pelo menos 10.000.000 downloads)
• Cashzine - ganhe recompensa em dinheiro (pelo menos 10.000.000 downloads)
• Fizzo Novel - leitura offline (pelo menos 10.000.000 downloads)
• CashEM: ganhe recompensas (pelo menos 5.000.000 de downloads)
• Tick: assista para ganhar (pelo menos 5.000.000 de downloads)

O Dr.Web antivírus para Android tem a capacidade de detectar e eliminar todas as versões conhecidas do módulo Trojan Android.Spy.SpinOk, bem como os aplicativos que o contenham. Isso garante que esse aplicativo malicioso não represente uma ameaça para os usuários.

O grupo de phishing de língua chinesa conhecido como PostalFurious, previamente ativo na região da Ásia-Pacífico, expandiu suas atividades para o Oriente Médio. O grupo foi identificado pelo Group-IB, uma empresa líder em segurança cibernética sediada em Cingapura. Eles se passam por órgãos públicos, como marcas postais e operadoras de pedágio, para realizar golpes.

No início de maio, autoridades locais emitiram um alerta sobre uma campanha fraudulenta na qual os golpistas se faziam passar por um operador de pedágio rodoviário. O Centro de Resistência ao Crime Digital do Group-IB em Dubai identificou que essa campanha era realizada pelo grupo PostalFurious. Além disso, foi descoberto um segundo esquema de golpe na região do Oriente Médio, no qual os golpistas se disfarçavam como um serviço postal. O Group-IB compartilhou suas descobertas com as autoridades locais e enviou notificações às marcas envolvidas. A empresa está empenhada em combater o crime cibernético e continua monitorando as atividades do grupo PostalFurious.

Faça um duplo

No golpe de pagamento de pedágio falso, os residentes locais estão recebendo mensagens de texto falsas que os pressionam a fazer o pagamento imediato de uma taxa de viagem do veículo para evitar multas adicionais. Essas mensagens contêm um URL encurtado para ocultar o verdadeiro endereço de phishing. Ao clicar no link, os usuários são redirecionados para uma página de pagamento falsa, criada para se parecer com a página legítima da marca.

Figura 01: Página de pagamento falsa representando um operador de pedágio. Fonte: Grupo-IB

Os golpistas visam comprometer os dados de pagamento dos usuários por meio de uma campanha de phishing em andamento desde pelo menos 15 de abril de 2023. Uma análise detalhada da infraestrutura revelou uma campanha quase idêntica lançada em 29 de abril de 2023, na qual os golpistas utilizaram os mesmos servidores para hospedar uma rede de sites de phishing. A única diferença entre as duas campanhas é a marca que está sendo falsificada, sendo que a última campanha envolveu a imitação de um operador postal do Oriente Médio.

Figura 02: Infraestrutura de rede dos golpistas, conforme mostrado pela ferramenta Graph Network Analysis do Group-IB. Fonte: Grupo-IB.

A mais recente onda de golpes inclui o uso de smishing (phishing por SMS) para distribuir links de phishing. As mensagens de texto foram enviadas de números de telefone registrados na Malásia e Tailândia, bem como através de endereços de e-mail por meio do iMessage. Embora não haja informações sobre o número exato de pessoas que foram alvo dessa campanha, especialistas do Group-IB descobriram que clientes de várias empresas de telecomunicações do Oriente Médio receberam mensagens SMS fraudulentas.

Figura 03: SMS falso se passando por um dos provedores de serviços postais do país. Fonte: Grupo-IB.

Os URLs contidos nas mensagens de texto direcionam para páginas de pagamento falsas que solicitam informações pessoais, como nome, endereço e dados de cartão de crédito. Essas páginas de phishing se apropriam do nome oficial e do logotipo da marca do provedor de serviços postais personificado.

Figura 04: página de phishing representando um dos provedores de serviços postais do país. Fonte: Grupo-IB.

Os especialistas do Group-IB observaram que os sites de phishing identificados estão empregando técnicas de controle de acesso para evitar a detecção e o bloqueio automatizados. Essas páginas só podem ser acessadas por meio de endereços IP locais, o que dificulta a identificação e o bloqueio automatizado das mesmas.

Muito rápido, Muito furioso

Os investigadores cibernéticos do Group-IB, que colaboram regularmente com operações lideradas pela INTERPOL na região do MEA, atribuíram ambas as campanhas a uma rede de phishing de língua chinesa chamada PostalFurious.

O Group-IB já havia dado o codinome PostalFurious à essa unidade de investigação cibernética no início de 2023. Essa rede está ativa desde pelo menos 2021. O nome foi escolhido devido à estratégia do grupo de se passar por marcas postais e à sua habilidade de configurar rapidamente grandes infraestruturas de rede, as quais também são frequentemente alteradas para evitar a detecção por ferramentas de segurança.

Figura 05: Perfil do ator ameaçador PostalFurious. Fonte: Grupo-IB.

Os recursos de phishing utilizados em ambas as campanhas identificadas foram hospedados em servidores da Web idênticos, e suas páginas de pagamento falsas possuíam o mesmo design. A infraestrutura por trás desses dois esquemas fraudulentos também compartilhava diversos elementos e códigos que foram observados em campanhas anteriores do PostalFurious direcionadas à região da APAC. O Laravel é usado como um painel de administração nos ataques direcionados aos mercados do Oriente Médio e da APAC. Além disso, o código-fonte dos sites de phishing voltados para os órgãos locais afetados continha comentários escritos em chinês simplificado, algo que os pesquisadores do Group-IB já haviam encontrado em pesquisas anteriores sobre o PostalFurious.

Figura 06: Comentários em chinês simplificado detectados durante a análise das páginas de phishing do PostalFurious. Fonte: Grupo-IB.

Os pesquisadores do Group-IB destacam que o PostalFurious registra novos domínios de phishing todos os dias para expandir rapidamente seu alcance.

Como não ser enganado

É crucial adotar boas práticas de higiene digital e permanecer vigilante enquanto estiver online para prevenir phishing e golpes. Não se apresse em fornecer informações pessoais em resposta a e-mails de phishing ou mensagens SMS que imitem comunicações legítimas de empresas. Verifique o site oficial da empresa, pesquise por avaliações e entre em contato com o suporte ao cliente para confirmar a autenticidade. Verifique cuidadosamente o URL e o nome da página para evitar cair em golpes. Proprietários de marcas devem monitorar e bloquear ativamente sites fraudulentos e de phishing. A solução de Proteção de Risco Digital do Group-IB pode ajudar a detectar e remover infraestruturas fraudulentas. A equipe de Investigação Cibernética do Group-IB tem experiência em investigar e combater crimes digitais avançados, colaborando com empresas e organizações de aplicação da lei em todo o mundo.