Mercado fechado
  • BOVESPA

    111.923,93
    +998,33 (+0,90%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.234,37
    -223,18 (-0,43%)
     
  • PETROLEO CRU

    80,34
    -0,88 (-1,08%)
     
  • OURO

    1.797,30
    -3,80 (-0,21%)
     
  • BTC-USD

    17.053,89
    +84,15 (+0,50%)
     
  • CMC Crypto 200

    404,33
    +2,91 (+0,72%)
     
  • S&P500

    4.071,70
    -4,87 (-0,12%)
     
  • DOW JONES

    34.429,88
    +34,87 (+0,10%)
     
  • FTSE

    7.556,23
    -2,26 (-0,03%)
     
  • HANG SENG

    18.675,35
    -61,09 (-0,33%)
     
  • NIKKEI

    27.777,90
    -448,18 (-1,59%)
     
  • NASDAQ

    11.979,00
    -83,75 (-0,69%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,4940
    +0,0286 (+0,52%)
     

Brasil é um dos alvos de vírus usado pela Coreia do Norte para roubar dados

O Brasil aparece como um dos focos de atuação do DTrack, malware de roubo de dados e comprometimento de redes que está sendo associado a criminosos digitais sob o comando da Coreia do Norte. A praga tem como alvo centros de pesquisa e empresas dos setores de indústria, telecom, tecnologia, indústria e educação, além de órgãos governamentais.

O vírus modular aparece em uma nova versão na atual onda de ataques, com recursos que permitem aos criminosos capturar a tela de computadores infectados, o histórico de navegadores e informações sobre a conexão com a rede e a internet. A partir disso, criam uma backdoor que permite uma invasão posterior para novos ataques, o que também inclui um sistema que permite interromper processos para aumentar a furtividade da ameaça.

De acordo com os especialistas da Kaspersky, a ideia é realizar um acompanhamento dos dispositivos de interesse, onde, mais tarde, contaminações adicionais e o roubo de dados, assim como a movimentação lateral, podem ocorrer. Ainda que esteja sendo catalogada como uma nova versão, os pesquisadores apontam que a edição atual do DTrack não traz novos recursos importantes ou mudanças relevantes no código-fonte, mas contam com elementos que permitem uma disseminação maior pelo globo.

De acordo com os especialistas da Kaspersky, a atividade pode ser atribuída ao grupo Lazarus, conhecido pelas ações em prol do regime norte-coreano. A ideia também seria a obtenção de informações que possam levar a ganhos financeiros que financiem o governo do país.

<em>Credenciais comprometidas e servidores expostos são porta de entrada de campanha de ataques por criminosos a serviço da Coreia do Norte, com organizações do Brasil entre as atingidas (Imagem: Pixabay/u_lxme1rwy)</em>
Credenciais comprometidas e servidores expostos são porta de entrada de campanha de ataques por criminosos a serviço da Coreia do Norte, com organizações do Brasil entre as atingidas (Imagem: Pixabay/u_lxme1rwy)

A backdoor vem sendo usada em ataques contra indústrias e governos, pelo menos, desde 2019. Em ondas de tamanho significativo, ataques de ransomware e até a contaminação das redes de usinas nucleares na Índia foram registrados, ainda que os pesquisadores apontam que o objetivo final seja mais o ganho financeiro do que o comprometimento de operações oficiais ou o roubo de segredos diplomáticos.

Vírus se disfarça de softwares conhecidos

Além do Brasil, países como EUA, Alemanha, Itália, Índia, Suíça, Arábia Saudita, México e Turquia estão entre os principais alvos dos criminosos. Servidores expostos na internet ou redes cujas credenciais foram comprometidas são os vetores de entrada principais, em vez dos tradicionais e-mails de phishing que dependem de cliques e ações do próprio usuário para que a infecção aconteça.

A Kaspersky também destaca o uso de nomes conhecidos como executáveis para a praga, de forma a aumentar sua furtividade. Uma das amostras encontradas, por exemplo, rodava disfarçada de um sistema de contêineres de placas de vídeo da Nvidia, ampliando a dificuldade de detecção mesmo diante de um sistema de monitoramento de processos.

Os bandidos também limitaram as conexões a servidores de comando e controle, também de olho na possibilidade de monitoramento, além de APIs e funções executadas de forma criptografada. Apenas quatro domínios são usados pelo DTrack para recebimento de ordens, todos com nomes reconhecíveis — alguns, inclusive, estão ativos desde agosto de 2021 e seguem sendo usados como parte dos ataques.

Apesar de o número total de vítimas não foi divulgado, a Kaspersky fala desta como uma campanha ainda em andamento e que deve levantar sinais de alerta para as companhias dos setores visados. A empresa de segurança também liberou indicadores de comprometimento e sinais que podem ser bloqueados em sistemas de segurança para evitar ameaças.

Fonte: Canaltech

Trending no Canaltech: