Mercado abrirá em 48 mins
  • BOVESPA

    121.801,21
    -1.775,35 (-1,44%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.195,43
    -438,48 (-0,85%)
     
  • PETROLEO CRU

    68,03
    -0,12 (-0,18%)
     
  • OURO

    1.816,40
    +1,90 (+0,10%)
     
  • BTC-USD

    38.106,61
    -287,02 (-0,75%)
     
  • CMC Crypto 200

    945,57
    +18,80 (+2,03%)
     
  • S&P500

    4.402,66
    -20,49 (-0,46%)
     
  • DOW JONES

    34.792,67
    -323,73 (-0,92%)
     
  • FTSE

    7.113,36
    -10,50 (-0,15%)
     
  • HANG SENG

    26.204,69
    -221,86 (-0,84%)
     
  • NIKKEI

    27.728,12
    +144,04 (+0,52%)
     
  • NASDAQ

    15.107,75
    +34,25 (+0,23%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,0851
    -0,0332 (-0,54%)
     

Versão falsa do Zoom é usada em campanha de malware contra corporações

·3 minuto de leitura

Versões falsas do Zoom, ainda bastante usado para teletrabalho e conferências remotas, estão sendo utilizadas por criminosos em ataques voltados ao vazamento de dados corporativos. A campanha criminosa está sendo disseminada pelo sudoeste asiático e já teria atingido pelo menos 1.500 empresas de dois países, com as ocorrências se intensificando ao longo das últimas semanas em cerca de 10 vezes.

O alerta foi feito pela Kaspersky, que aponta a disseminação em grande escala, agora, de um malware que já vinha circulando desde outubro de 2020. Filipinas e Mianmar são as nações mais atingidas, a partir de um malware que tem até assinatura digital legítima e pode se passar por documentos do Word, com supostas informações de casos de COVID-19 no território da vítima, ou instalado pelos próprios criminosos a partir de pendrives.

Em seu relatório, os especialistas em segurança dizem estarem analisando o crescimento da ameaça, cujas ocorrências teriam aumentado 10 vezes na comparação com os números do ano passado. Seja como for, os ataques foram atribuídos a um grupo chamado LuminousMoth, que possuiria relações com outras gangues ativas no território asiático e já teria realizado ataques usando pragas da família Cobalt Strike, responsável por mais de metade dos ataques de ransomware realizados no quarto trimestre de 2020.

De acordo com a análise, a praga possui três formas de atuação, podendo realizar alterações no registro do Windows para ser executado ou atingir drives removíveis, fazendo sumir os arquivos e os substituindo por um executável que, inevitavelmente, será ativado pelo usuário. Isso leva à execução manual do próprio malware, que ainda pode mover arquivos para pastas diferentes das originais dentro do próprio computador, com todos os casos abrindo conexões a servidores de controle, cujo tráfego é disfarçado como oriundo do Gmail, de forma a evadir a detecção por softwares de segurança.

<em>Os ataques do LuminousMoth usam diferentes vetores, desde a ocultação dos arquivos e a criação de executáveis para que o próprio usuário permita a disseminação do malware, até versões falsas do Zoom com certificados legítimos, mas furtados (Imagem: Reprodução/Kaspersky)</em>
Os ataques do LuminousMoth usam diferentes vetores, desde a ocultação dos arquivos e a criação de executáveis para que o próprio usuário permita a disseminação do malware, até versões falsas do Zoom com certificados legítimos, mas furtados (Imagem: Reprodução/Kaspersky)

Entra, então, a segunda parte do ataque, que motivou o alerta da Kaspersky. Enquanto as contaminações originais poderiam levar à instalação de ransomwares, o LuminousMoth, agora, utiliza a versão falsa do Zoom para localizar máquinas infectadas, fazendo com que os dados manipulados pela praga sejam enviadas a servidores externos. Em alguns casos, cookies de navegadores como o Chrome também teriam sido desviados, podendo levar ao comprometimento de contas corporativas, redes sociais e e-mails.

Os especialistas da Kaspersky encontraram, ainda, conexões entre o LuminousMoth e um outro grupo criminoso em atuação na Ásia, o HoneyMite. Isso se deve à similaridade entre os alvos e alguns desenvolvimentos usados nos malwares, assim como a utilização de infraestruturas semelhantes, em alguns casos, nos servidores de comando e controle. Em todos os casos, os responsáveis têm o chinês como idioma principal.

A empresa de segurança divulgou indicadores de comprometimento, para ajudar as corporações a detectarem ataques em andamento ou evitar a contaminação. Além disso, a recomendação dos especialistas é para que os usuários evitem o download de arquivos zipados ou executáveis que cheguem por e-mail, enquanto devem ficar atentos ao uso público de computadores, que não devem ser deixados desatendidos enquanto ativados.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos