Mercado fechado
  • BOVESPA

    121.800,79
    -3.874,54 (-3,08%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    50.868,32
    -766,28 (-1,48%)
     
  • PETROLEO CRU

    73,81
    +0,19 (+0,26%)
     
  • OURO

    1.816,90
    -18,90 (-1,03%)
     
  • BTC-USD

    41.648,97
    +3.002,87 (+7,77%)
     
  • CMC Crypto 200

    955,03
    +5,13 (+0,54%)
     
  • S&P500

    4.395,26
    -23,89 (-0,54%)
     
  • DOW JONES

    34.935,47
    -149,06 (-0,42%)
     
  • FTSE

    7.032,30
    -46,12 (-0,65%)
     
  • HANG SENG

    25.961,03
    -354,29 (-1,35%)
     
  • NIKKEI

    27.283,59
    -498,83 (-1,80%)
     
  • NASDAQ

    14.966,50
    -71,25 (-0,47%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1880
    +0,1475 (+2,44%)
     

Malware passa por sistema de segurança da Microsoft e pode roubar seus dados

·3 minuto de leitura
Malware passa por sistema de segurança da Microsoft e pode roubar seus dados
Malware passa por sistema de segurança da Microsoft e pode roubar seus dados

Um malware conseguiu contornar o sistema de segurança implementado pela Microsoft para se instalar em máquinas com Windows 10 sem ser detectado. O rootkit conhecido como “Netfilter” parece ter a função primária de “escutar conexões SSL”, o que, em tese, permite a um hacker observar o tráfego e interceptar dados sigilosos.

A descoberta foi feita pelo pesquisador de segurança digital Karsten Hahn, que trabalha na empresa G Data. Sua companhia identificou o malware em uma análise separada, mas inicialmente ele pensou tratar-se de um falso positivo, já que a Microsoft havia assinado o Netfilter em seu Programa de Compatibilidade de Hardware do Windows (WHCP).

Leia também

Imagem mostra várias linhas de código em vermelho, com a palavra "malware" escrita em branco.
Malware conseguiu passar despercebido pelos sistemas de segurança do Windows, abrindo espaço para execuções de hackers que roubam seus dados. Imagem: Yuttanas/Shutterstock

Contextualizando: há mais de uma década, a Microsoft implementou um programa que exige assinaturas e certificados válidos de segurança digital para empresas terceiras que desenvolvam recursos para o Windows. Sem as devidas validações desses certificados, o recurso em questão é marcado pelo Windows Defender e barrado de funcionar na máquina – isso, se ele ainda conseguir se instalar.

Um rootkit – o tipo de malware correspondente ao Netfilter – é escrito de forma que se previne de ser “visto” em diretórios de arquivos, gerenciadores de tarefas e outras funções comuns de um sistema operacional, que requer certificados de autenticação de tráfego para dados enviados por meio de conexões SSL seguras e criptografadas (protocolo TLS, ou “Transport Layer Security”).

Essas conexões, em tese, só permitem que o conteúdo trafegado por elas seja visto por quem o envia e por quem o recebe, assim como a chamada “criptografia de ponta a ponta” que você ouve falar em apps como WhatsApp, Zoom e similares. Isso segue um protocolo específico para garantir que a segurança seja genuína e confiável. Certificados do tipo são emitidos por autoridades digitais parceiras do Windows.

Ao instalar um certificado falso, o Netfilter contorna essa necessidade. E o Windows não o “enxerga” em seus diretórios. Consequentemente, os mecanismos de defesa do sistema operacional não vão identificá-lo e, evidentemente, não poderão removê-lo.

O pesquisador especializado em engenharia reversa Johann Aydinbas, via Twitter, deu mais alguns detalhes do Netfilter, explicando que seu trabalho é justamente o de plantar uma “escuta” em conexões SSL, além de instalar e proteger um certificado falso no registro de sistema.

Este conteúdo não está disponível devido às suas preferências de privacidade.
Para vê-los, atualize suas configurações aqui.

Com isso, o malware passava pelo sistema de segurança da Microsoft, roubando seus dados e encaminhando-os para um servidor controlado pelo hacker – neste caso, localizado no endereço “hxxp://110.42.4.180:2081/s” já sem a criptografia de proteção.

A Microsoft comentou o caso em um post publicado em seu blog de segurança, dizendo que, até o momento, não identificou nenhuma situação de exploração dessa falha, no intuito de tranquilizar seus consumidores. Ela reconhece, no entanto, que o caso era grave:

“A Microsoft está investigando a ação de distribuição de drivers maliciosos dentro de ambientes de jogos. O proprietário entregou o driver para certificação por meio do WHCP. Os drivers em si foram construídos por uma empresa terceirizada. Nós suspendemos a conta e revisamos seus pedidos de certificação em busca de sinais adicionais de emprego de malware”, diz trecho do post.

A empresa também atualizou seus registros de assinatura de malware para que o Netfilter seja apropriadamente identificado daqui em diante.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos