Um ataque sofisticado utiliza uma imagem do telescópio James Webb para disseminar um malware ainda em fase de testes pelos criminosos responsáveis. A imagem vem em um documento malicioso do pacote Office e explora dispositivos que ainda não tenham a proteção contra a execução de macros ativada para baixar conteúdo malicioso de servidores sob o comando dos criminosos.
- Os 5 métodos de ataque cibernético em que você precisa ficar de olho
- 5 dicas para manter os e-mails corporativos mais seguros
A campanha, chamada de Go#Webbfuscator, usa uma praga desenvolvida na linguagem de programação Golang, que de acordo com os pesquisadores em segurança da Securonix, vem ganhando tração entre os criminosos por funcionar no Windows, Linux e macOS. O objetivo, pelo menos nessa etapa inicial, seria a extração de dados dos computadores infectados, com o uso de conexões criptografadas que dificultariam a detecção por softwares de segurança.
O processo de contaminação também é focado na furtividade e é nele que entra a imagem capturada pelo James Webb. A foto é a da galáxia SMACS 0723, publicada pela NASA em julho deste ano, e é baixada por meio do macro do documento malicioso; se aberta normalmente, é apenas uma imagem, mas ela também contém certificados de segurança fraudados que permitem a execução do malware.
Para estabelecer persistência, ele cria entradas no registro do sistema operacional e estabelece a conexão com o servidor dos criminosos para comunicação, envio de dados e possível download de novos vírus. Comandos também podem ser recebidos pela praga, justamente o comportamento que os pesquisadores da Securonix observaram, indicando também que a ameaça é capaz de realizar o reconhecimento dos sistemas comprometidos, levando a ataques mais direcionados.
Toda a exploração foi taxada como interessante pelos pesquisadores, por usar métodos incomuns de contaminação e demonstrar claro foco em se manter oculta. Normalmente, pragas desse tipo são voltadas a golpes contra redes corporativas, mas como a campanha ainda parece estar em uma etapa incipiente, não existem relatos de ofensivas contra alvos desse tipo.
Como o vírus ainda passa despercebido por softwares de segurança, a Securonix disponibilizou detalhes técnicos de seu funcionamento e o formato da exploração. Indicadores de comprometimento também estão disponíveis no relatório da companhia.
Fonte: Securonix
Trending no Canaltech:
- Chevrolet confirma chegada do novo Bolt ao Brasil em setembro
- Queer Eye: Brasil | Quando estreia a versão nacional do reality show?
- Descoberta no Nilo ajuda a explicar como as pirâmides do Egito foram erguidas
- China enfrenta onda de calor mais intensa já registrada
- Pokémon UNITE anuncia Mew, Dodrio e Scizor
