A equipe de especialistas da Kaspersky Lab divulgou na quinta-feira (11) a descoberta de uma campanha de espionagem virtual realizada pela organização cibercriminosa conhecida como “Winnti”. De acordo com o relatório, o grupo tem atacado empresas do setor de jogos online desde 2009 e continua em atividade.
O objetivo do Winnti é roubar certificados digitais assinados por fornecedores legítimos de software, além de roubar propriedade intelectual, inclusive o código fonte de projetos de jogos online.
O primeiro incidente que chamou atenção para as atividades maliciosas do grupo ocorreu em 2011, quando foi detectado um Cavalo de Troia em um grande número de computadores de usuários finais em todo o mundo. A ligação evidente entre os computadores infectados era que todos eles foram usados para jogar um conhecido jogo online.
Logo após o incidente, surgiram informações de que o programa malicioso que tinha infectado as máquinas fazia parte de uma atualização regular do servidor oficial da empresa de jogos. Os usuários infectados e participantes da comunidade de jogos suspeitaram que o editor do game estava instalando o malware para espionar seus clientes. Contudo, mais tarde ficou claro que o programa malicioso foi instalado nos PCs dos jogadores por acidente e que, na verdade, os cibercriminosos visavam a própria empresa de jogos.
Como resposta, o editor do jogo de computador, proprietário dos servidores que disseminaram o malware solicitou à Kaspersky Lab que analisasse o programa malicioso. O vírus consistia em uma biblioteca DLL compilada para ambientes Windows de 64 bits que usava um drive malicioso com uma assinatura digital válida. Tratava-se de uma ferramenta de administração remota (RAT) totalmente funcional, que dava aos invasores a possibilidade de controlar os computadores das vítimas sem o conhecimento dos usuários.
Esse foi o primeiro Trojan identificado para a versão de 64 bits do Windows com uma assinatura digital válida.
Os especialistas da Kaspersky Lab começaram a analisar a campanha do Winnti e descobriram que mais de 30 empresas do setor de games foram afetadas pelo grupo, sendo que a maioria delas era formada por companhias de desenvolvimento de software que produziam jogos de vídeo games online no sudeste da Ásia.
No entanto, também foram identificadas vítimas na Alemanha, nos Estados Unidos, no Japão, na China, na Rússia, no Brasil, no Peru e na Bielorrússia.
Além da espionagem industrial, os especialistas da Kaspersky Lab identificaram três esquemas principais de monetização que poderiam ser usados pelo grupo Winnti para gerar lucros ilegais:
• A manipulação da acumulação de pontos no jogo, como “moedas” ou “ouro”, que são usados pelos jogadores para converter o dinheiro virtual em dinheiro real;
• O uso do código-fonte roubado dos servidores de jogos online para buscar vulnerabilidades nos jogos, com o intuito de facilitar e acelerar a manipulação e acumulação das moedas sem levantar suspeitas;
• O uso do código-fonte roubado dos servidores de jogos online para implementar seus próprios servidores pirata;
O grupo Winnti ainda está ativo e a investigação da Kaspersky Lab continua em andamento. A equipe de especialistas da empresa tem trabalhado em conjunto com a comunidade de segurança de TI, o setor de jogos online e autoridades de certificação para identificar outros servidores infectados, auxiliando ainda na revogação dos certificados digitais roubados.
Fonte: idgnow