Mercado abrirá em 1 h 41 min
  • BOVESPA

    108.013,47
    +1.345,81 (+1,26%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    52.823,23
    -408,97 (-0,77%)
     
  • PETROLEO CRU

    86,67
    -0,29 (-0,33%)
     
  • OURO

    1.838,90
    -4,30 (-0,23%)
     
  • BTC-USD

    42.097,70
    +598,15 (+1,44%)
     
  • CMC Crypto 200

    999,69
    +4,94 (+0,50%)
     
  • S&P500

    4.532,76
    -44,35 (-0,97%)
     
  • DOW JONES

    35.028,65
    -339,82 (-0,96%)
     
  • FTSE

    7.572,90
    -16,76 (-0,22%)
     
  • HANG SENG

    24.952,35
    +824,50 (+3,42%)
     
  • NIKKEI

    27.772,93
    +305,70 (+1,11%)
     
  • NASDAQ

    15.122,75
    +89,25 (+0,59%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,2107
    +0,0433 (+0,70%)
     

Malware se esconde no registro do Windows para espionar digitação

·2 min de leitura

Uma nova campanha de ameaças tem como alvo empresas de língua russa, usando um desenvolvimento leve em JavaScript para roubar dados digitados pelas vítimas. O malware chamado de DarkWatchman começou a ser distribuído em novembro por meio de e-mails de phishing, também por criminosos do próprio país, não deixando rastros e se escondendo no registro do Windows para agir.

Esse é um dos caminhos comumente usados pelos chamados malwares fileless — ou “sem arquivo”. Neste caso, a praga cria uma tarefa agendada no sistema operacional para ser executada a cada nova inicialização do Windows, rodando a partir da memória e não armazenando arquivos no disco; durante o funcionamento, ele inicia uma chave de registro com toda a informação digitada, que é enviada a um servidor sob o controle dos criminosos quando o PC é desligado e apagada para ocultar os próprios rastros.

Apesar deste grau considerável de sofisticação, a contaminação inicial segue a rotina de sempre, com e-mails em nomes de possíveis parceiros comerciais e clientes. Como sempre, há a promessa de uma falsa nota fiscal em anexo, um arquivo no formado ZIP que, quando descompactado, contém um executável disfarçado de documento; ao ser aberto, ele realiza a instalação da praga e inicia a coleta sorrateira do que é digitado.

Chamou a atenção dos especialistas da Prevailion, responsáveis pela descoberta da praga, também o uso de algoritmos de geração de domínio, capazes de criar até 500 combinações por dia, aumentando a resiliência digital dos servidores de comando e controle, além de dificultarem investigações. Além disso, eles apontam que, caso o usuário contaminado tenha as permissões de administração necessárias, o malware também é capaz de apagar cópias e eventuais rastros, ampliando ainda mais seu aspecto sorrateiro e a capacidade de evadir soluções de segurança.

<em>DarkWatchman chega por e-mails tradicionais de phishing, mas usa método de ocultação no registro do Windows para executar ações e se comunicar com servidores sob o controle dos criminosos (Imagem: Divulgação/Prevailion)</em>
DarkWatchman chega por e-mails tradicionais de phishing, mas usa método de ocultação no registro do Windows para executar ações e se comunicar com servidores sob o controle dos criminosos (Imagem: Divulgação/Prevailion)

A expectativa sombria do time de pesquisadores é que, em um futuro bem próximo, o DarkWatchman possa ser modificado para abrigar soluções de ransomware, se tornando uma alternativa de entrada bastante furtiva e leve. Desde já, a praga possui capacidades de download e execução de objetos remotamente, permitindo ações como a instalação de novos malware ou até mesmo a obtenção de controle remoto do computador infectado.

A Prevailion não revelou o grupo criminoso que seria o responsável pela praga, mas ressalta o caráter contínuo deste desenvolvimento, que pode ser voltado para redes de malware como serviço e utilização em redes ou por parceiros pouco especializados. Como forma de prevenção, a empresa divulgou os indicadores de ameaça, como os registros de tráfego online deixados pelo malware e as entradas de registro maliciosas criadas por ele.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos