Nas últimas semanas, temos trabalhado em uma investigação sobre um código malicioso que, após sua análise, nos permitiu identificar um caso de ataque direcionado de malware na América Latina, projetado com o objetivo de roubar arquivos (projetos, desenhos, etc) de AutoCAD dos computadores infectados. Após incidentes de alta repercussão na mídia como os casos Stuxnet, Duqu ou Flamer; no Laboratório da ESET América Latina descobrimos um ataque semelhante projetado e direcionado exclusivamente a um país da região – o Peru. A partir das taxas de detecção do worm ACAD/Medre.A durante o ano de 2012, a equipe de investigação pôde compreender o funcionamento deste código malicioso, projetado exclusivamente na América Latina, posicionando-se como um novo caso de malware projetado para um ataque direcionado, com a particularidade de se tratar do primeiro caso deste tipo e desta magnitude registrado na região – a chamada Operação Medre.

Como foi identificado este ataque? Semanas atrás integrantes do Laboratório da ESET América Latina notaram uma taxa de detecção destacada de um código malicioso no Peru, o ACAD/Medre.A. Tratava-se de um worm em arquivos em AutoLISP (linguagem de scripting para AutoCAD) que se localizava entre os dez códigos maliciosos mais detectados no país durante o ano, algo pouco habitual para esse tipo de arquivos e detecções. Enquanto no Peru o ACAD/Medre.A representava 1,29% das detecções no país (ficando no 9º lugar do ranking), as taxas eram muito mais baixas para o mesmo código malicioso na América Latina (0,21%) e no mundo (0,04%):

 

96% das taxas de detecção do ACAD/Medre foram no Perú, uma concentração extremamente pouco habitual para os códigos maliciosos. Antes desse cenário, conseguimos analisar a ameaça para conhecer o que havia por trás, descobrindo o que chamamos de Operação Medre – um ataque direcionado exclusivamente ao Peru, com o intuito de roubar arquivos de AutoCAD dos computadores infectados.

A partir de um arquivo de extensão FAS (arquivos executáveis em linguagem AutoLISP) localizado na mesma pasta do projeto, quando o usuário abre um projeto de AutoCAD (.dwg), o arquivo malicioso é executado, modificando um arquivo LSP localizado na pasta do software, de forma que pode continuar infectando qualquer outro projeto que o usuário abra no sistema. Posteriormente, um script é executado em linguagem Visual Basic (.vbs) que possui rotinas para enviar todos os projetos de AutoCAD abertos no sistema infectado a contas de e-mail do cibercriminoso, sendo mais de 40 contas distribuídas em serviços de e-mail na China.

Finalmente, a ESET desenvolveu uma ferramenta de limpeza gratuita disponível no site da ESET América Latina, para que qualquer usuário possa baixá-la e verificar se possui seu sistema e/ou projtos de AutoCAD infectados e, em casos positivos, limpar e desinfectar o sistema.Na imagem a seguir, você pode observar como o criminoso recebe em seu e-mail o projeto DWG, junto com outros dados como a rota do arquivo, e o nome de usuário e computador da vítima:

Na análise do tamanho da operação, descobrimos que os criminosos roubaram mais de dez mil projetos únicos, concretizando um ataque de importante magnitude para a região. Ainda assim, identificamos que o Peru também é o país onde foram encontrados mais endereços URL hospedando o malware através de nosso alerta proativo, o ESET LiveGrid. Inclusive observamos casos de alto comprometimento da confidencialidade, como por exemplo um importante site que ofereça um template (arquivo base) para a apresentação de projetos de provedores para uma importante organização. Desta forma, ao infectar o template, todos os projetos apresentados pelos usuários foram enviados aos criminosos, gerando um alto comprometimento à confidencialidade da informação.

Nas últimas semanas, antes da publicação desta investigação, nós da ESET temos atuado sobre a situação, promovido informações e auxiliando autoridades responsáveis no Peru, às quais a ESET tem oferecido seu apoio e assistência para controlar e remediar o problema; a empresa Autodesk (fabricante do produto AutoCAD) e as empresas chinesas provedoras dos serviços de e-mail utilizados pelos criminosos. Uma dessas empresas já nos deu uma resposta rápida e eficaz, desabilitando as contas de e-mail utilizadas pelo worm. Com isso, nos casos em que as contas selecionadas para enviar o projeto correspondam aleatoriamente a este domínio, o worm já não será funcional e o projeto não será enviado ao criminoso.

É pouco frequente encontrar códigos maliciosos através do AutoCAD. Também é pouco frequente haver códigos maliciosos com claros fins de espionagem (como neste caso, visando o roubo de projetos e desenhos técnicos). Também é pouco frequente que o malware seja utilizado como ataque direcionado e, finalmente, nos casos mencionados no início do texto, esta atividade sequer era observada, ao menos com essas características e com essa magnitude, na América Latina. A Operação Medre unificou todos esses conceitos, evidenciando a presença de ataques na região, e que as empresas e organizações devem gerenciar sua segurança para prevenir incidentes deste tipo, cujo impacto pode ser mais grave que infecções mais tradicionais.

Para os que desejem conhecer mais detalhes sobre a Operação Medre, é possível baixar em nosso site o White paper “Operação Medre: espionagem industrial na América Latina” (em espanhol), que detalha de forma muito mais extensa as características deste worm e a operação de ciberespionagem por trás dele.

Sebastián Bortnik
Gerente de Educação e Serviços