A tática de camuflagem avançada para esconder o malware no sistema é inspirada na forma como a cobra continua a mover-se na mesma direção até que o jogador decida alterá-la no jogo.
Um grupo de hackers do Irão chamado MuddyWater chamou a atenção de especialistas em cibersegurança recentemente por usar uma tática de um jogo antigo bastante conhecido: o Snake, o famoso jogo da cobra.
A campanha foi identificada no meio das notícias de que o grupo de espionagem iraniano anda a atacar organizações israelitas com um novo malware que consegue burlar o sistema de segurança para instalar vírus nos dispositivos visados.
Para concretizar esses ataques, os cibercriminosos apostaram numa técnica similar à do jogo que fez sucesso em aparelhos da Nokia no fim dos anos 1990 que tinha uma ideia simples: controlar uma cobra num segmento de linha, evitando a colisão com as bordas do tabuleiro. O objetivo era fazer a cobrinha comer a comida que aparecia em locais aleatórios da tela, rendendo pontos ao jogador.
É justamente esse joguinho tão inofensivo que o MuddyWater “adaptou” para usar nas suas campanhas contra organizações de Israel.
Jogo da cobra para espionagem
Uma análise de especialistas da ESET detectou que o grupo iraniano de hackers usa uma técnica de camuflagem avançada para esconder o malware no sistema, evitando que ele seja facilmente encontrado.
Batizado de Fooder, o programa malicioso inspira-se na forma como a cobra se move. No jogo, o movimento ocorre a partir de um breve loop em tempo real, com intervalos fixos em que a cobra continua a mover-se na mesma direção até que o jogador decida alterá-la.
É basicamente isso que ocorre com o malware do MuddyWater. O Fooder tem um mecanismo de loop próprio que, em vez do instalador ser executado assim que infeta o dispositivo, atrasa-se por um período longo de tempo, permanecendo inativo como se estivesse “adormecido”. O programa malicioso só é ativado depois de fazer uma inspeção completa do sistema, alterando a rota conforme a ação do utilizador.
Evolução de táticas
Geralmente, o MuddyWater costuma usar táticas parecidas na hora de orquestrar ataques digitais. Na grande maioria dos casos, o grupo usa emails de spear-phishing, que possuem um PDF anexado que hospeda um tipo de ferramenta de monitorização e gestão remotas. Caso a vítima instale o programa, o malware infeta o dispositivo, dando acesso total aos hackers.
O “diferencial” do MuddyWater é que o grupo não costuma ser muito subtil nas suas campanhas. Os especialistas sempre encontram rastos das atividades ilegais dos hackers, já que essas técnicas usuais deixam registos no sistema da vítima antes de exfiltrar dados, por exemplo.
É por isso que o esquema do jogo da cobra levantou um sinal vermelho, pois demonstra uma evolução do grupo de ciberespionagem, que parece estar mais apto a esconder as suas ações no meio digital.
