Bandidos escondem vírus em imagem do logo do Windows
Técnica de esteganografia é usada por grupo com ligações ao governo da China em campanha de espionagem, com códigos ocultos em imagem do logo do Windows
O simples carregamento de uma imagem maliciosa do logo do Windows é o suficiente para iniciar uma contaminação que pode levar ao roubo de dados e instalação de malware. Os criminosos usam uma técnica avançada para ocultar códigos perigosos em um arquivo com o logo do Windows, aumentando a chance de infecção pela aparente inocência dos dados.
- Os 5 métodos de ataque cibernético em que você precisa ficar de olho
- Estes são os 10 golpes financeiros mais comuns no Brasil
A técnica é chamada esteganografia e, basicamente, consiste em esconder códigos maliciosos por trás de elementos aparentemente benignos. A campanha foi descoberta pelos especialistas em segurança da Symantec e associada a um grupo cibercriminoso chamado Witchetty, que teria ligações ao Cicada, ou APT10, ambos considerados associados ao governo chinês.
-1hb85r9tvwbhx.jpeg)
O ataque faz parte de uma campanha de espionagem lançada em fevereiro deste ano, atingindo dois governos do Oriente Médio e também uma corretora de ações africana. De acordo com os especialistas, apesar de altamente direcionados, este não foi o fim da onda de ataques, que continuam sendo lançados contra alvos escolhidos à dedo pelos criminosos, teoricamente à serviço da China.
Ao ocultar em uma imagem os códigos maliciosos que instalam um backdoor no PC das vítimas e pode ser usado para o download de novos malwares, os bandidos garantem que o ataque fica oculto de softwares antivírus. Além disso, a aparência legítima permite que o arquivo Bitmap seja hospedado em serviços legítimos de hospedagem e anexados a e-mails e documentos, também nào sendo flagrados como perigosos pelas ferramentas de proteção embutidas em tais plataformas.
Ajuda, ainda, o fato de a backdoor vir criptografada, sendo decodificada apenas quando encontra falhas no Microsoft Exchange ProxyShell ou ProxyLogon, em um conjunto de brechas que, inclusive, já foi resolvida pelos responsáveis. Uma vez no interior da máquina, a praga é capaz de listar os arquivos disponíveis, iniciar ou encerrar processos, alterar o registro do Windows e, no que mais interessa aos bandidos, baixar novos vírus ou extrair dados.
Roubo de credenciais, varredura de portas abertas e o estabelecimento de permanência são outros caminhos que podem ser seguidos após a contaminação inicial. No último caso, a praga se disfarça como um componente relacionado à fabricante de GPUs Nvidia como forma de evitar ser detectado mesmo em uma análise dos processos abertos na máquina.
A aplicação de atualizações, por outro lado, é o melhor caminho para proteção. Como dito, todas as brechas utilizadas pelo Witchetty na contaminação já foram corrigidas, com o uso de soluções de segurança e download de updates auxiliando na proteção contra ataques desse tipo.
Fonte: Symantec
Trending no Canaltech:
- Exercício simples acelera o metabolismo e queima gordura enquanto você trabalha
- As 10 cenas de game over mais brutais dos games
- Amazon anuncia novo Kindle Scribe, o primeiro Kindle para ler e escrever
- E se o impacto da NASA enviasse o asteroide Dimorphos em direção à Terra?
- Rajada rápida de rádio em outra galáxia é uma das mais estranhas já vistas
