Um novo exploit do dobe Flash Player, usado em um ataque em 10 de outubro por um agente de ameaça conhecido como BlackOasis, foi identificado. Segundo a empresa de cibersegurança Kaspersky Lab, o exploit é utilizado em ataques usando um documento do Microsoft Word e instala o malware comercial FinSpy.
A Kaspersky Lab afirma ter reportado a vulnerabilidade à Adobe, que publicou um aviso a respeito. De acordo com os pesquisadores, o zero day CVE-2017-11292 foi detectado em um ataque “in-the-wild”. Para evitar essa ameaça, empresas e organizações governamentais devem instalar a atualização da Adobe imediatamente.
Os pesquisadores acreditam que o grupo atrás do ataque também foi responsável pelo CVE-2017-8759, outro dia zero, relatado em setembro – e eles estão confiantes de que o ator ameaça envolvido é o BlackOasis, que a Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky Lab começou a rastrear em 2016.
A análise revela que, após a exploração bem-sucedida da vulnerabilidade, o malware FinSpy (também conhecido como FinFisher) está instalado no computador alvo. O FinSpy é um malware comercial, normalmente vendido para estados nacionais e agências de aplicação da lei para realizar vigilância. No passado, o uso do malware era principalmente doméstico, com as agências de aplicação da lei implantando-o para vigilância em alvos locais. BlackOasis é uma exceção significativa para isso – usando-o contra uma ampla gama de alvos em todo o mundo. Isso parece sugerir que o FinSpy agora está alimentando operações de inteligência global, com um país usando isso contra outro. Empresas que desenvolvem software de vigilância como o FinSpy tornam possível essa corrida de armas.
Até agora, as vítimas de BlackOasis foram observadas nos seguintes países: Rússia, Iraque, Afeganistão, Nigéria, Líbia, Jordânia, Tunísia, Arábia Saudita, Irã, Holanda, Bahrein, Reino Unido e Angola.
Anton Ivanov, Analista Líder de Malware da Kaspersky Lab, comenta que é a terceira vez que observa este ano a distribuição do FinSpy através de explorações para vulnerabilidades, utilizando o recém-descoberto exploit dia zero. “Anteriormente, os agentes que implementavam este malware abusavam de problemas críticos nos produtos Microsoft Word e Adobe. Acreditamos que o número de ataques que dependem do software FinSpy, suportado por explorações de dia zero, como o descrito aqui, continuará a crescer”, afirma.
