Mercado fechado
  • BOVESPA

    106.471,92
    +579,92 (+0,55%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    46.723,43
    -192,77 (-0,41%)
     
  • PETROLEO CRU

    88,53
    -0,48 (-0,54%)
     
  • OURO

    1.792,40
    +1,20 (+0,07%)
     
  • BTC-USD

    23.305,62
    +110,86 (+0,48%)
     
  • CMC Crypto 200

    533,20
    -2,02 (-0,38%)
     
  • S&P500

    4.145,19
    -6,75 (-0,16%)
     
  • DOW JONES

    32.803,47
    +76,67 (+0,23%)
     
  • FTSE

    7.439,74
    -8,32 (-0,11%)
     
  • HANG SENG

    20.201,94
    +27,94 (+0,14%)
     
  • NIKKEI

    28.175,87
    +243,67 (+0,87%)
     
  • NASDAQ

    13.216,50
    -12,25 (-0,09%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2565
    -0,0840 (-1,57%)
     

Malware usa falhas no Windows e produtos Adobe para espionar empresas

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

Um grupo austríaco que fornece ferramentas de espionagem foi ligado pela Microsoft ao bando cibercriminoso Knotweed, apontado como o responsável por ataques em pelo menos dois continentes. Os bandidos utilizam falhas zero-day no Windows e Adobe Reader para obter acesso a computadores de empresas de interesse para roubar dados, comprometer outros dispositivos ligados à rede e executar códigos remotamente.

A organização em questão se chama DSIRF, apontada como responsável por uma série de ataques utilizando o malware Subzero pela Microsoft. Oficialmente, ela promete oferecer serviços de pesquisa, inteligência de ameaças e forênsica digital, mas também estaria ligada aos golpes voltados à espionagem industrial e ao roubo de informações de consultorias, empresas de advocacia e bancos da América Central e Europa, incluindo ataques no Reino Unido, Panamá e Áustria.

A ligação entre as duas partes se deu depois que o Centro de Inteligência de Ameaças da Microsoft encontrou infraestruturas sendo usadas tanto para disseminar o malware quanto para certificar operações legítimas da DSIRF. Contas associadas no GitHub e certificados também coincidem, o que indica uma outra face das operações supostamente legítimas da DSIRF.

Enquanto isso, o ataque envolvendo o Subzero acontece em partes, envolvendo payloads como o Corelump e Jumplump, ambos capazes de escapar de detecção enquanto se infiltram na memória dos dispositivos para rodar códigos. A entrada acontece por meio de brechas já conhecidas e atualizadas no Windows e Adobe Reader, com os bandidos confiando na demora de organizações em corrigirem seus sistemas.

<em>Uso de certificados legítimos de empresa de forênsica digital é indicador de envolvimento, também, em ataques de espionagem contra organizações em dois continentes (Imagem: Reprodução/Microsoft)</em>
Uso de certificados legítimos de empresa de forênsica digital é indicador de envolvimento, também, em ataques de espionagem contra organizações em dois continentes (Imagem: Reprodução/Microsoft)

CVEs como 2022-22074, 2021-36948, 2021-31199 e 2021-31201, no sistema operacional, são usadas para escalar privilégios, assim como a CVE-2021-28550 do Adobe Reader. Uma vez no sistema, a praga é capaz de registrar dados digitados, capturar screenshots e extrair dados, ao mesmo tempo em que permite a inserção de novos malwares e plugins para navegadores carregados a partir dos servidores de comando e controle.

Auxilia na exploração o fato de o malware ser assinado pelo certificado da DSIRF, considerado válido, além da aplicação de estratégias de ofuscação que envolvem o uso de códigos e a desativação de credenciais de acesso. Os comportamentos da exploração se assemelham aos de times de simulação de ameaças ou intrusões, o que pode fazer com que sistemas automatizados de segurança ignorem os sinais de ataque, acreditando estarem relacionados a treinamentos legítimos.

Em um alerta sobre o caso, a Microsoft divulgou indicadores de comprometimento e pediu que as organizações deem atenção às atualizações do Windows, principalmente aquelas relacionadas à CVE-2022-22047, que vem sendo ativamente explorada. Mudar configurações de macros dos aplicativos do pacote Office, ativar autenticação em duas etapas em sistemas críticos e monitorar as atividades de rede também auxiliam a evitar os ataques.

Além disso, o Defender também foi atualizado para levar em conta os indicadores de ameaça relacionados ao Subzero e à Knotweed. A empresa alerta, principalmente, organizações envolvidas com ativismo político contra países com governos autoritários, jornalistas, dissidentes e partidários dos direitos humanos, que parecem ser o principal alvo dos golpes.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos