Bandidos escondem vírus em imagem do logo do Windows

Por Felipe Demartini | Editado por Claudio Yuge | 30 de Setembro de 2022 às 13h20

clique para compartilhar

Link copiado!

O simples carregamento de uma imagem maliciosa do logo do Windows é o suficiente para iniciar uma contaminação que pode levar ao roubo de dados e instalação de malware. Os criminosos usam uma técnica avançada para ocultar códigos perigosos em um arquivo com o logo do Windows, aumentando a chance de infecção pela aparente inocência dos dados.

A técnica é chamada esteganografia e, basicamente, consiste em esconder códigos maliciosos por trás de elementos aparentemente benignos. A campanha foi descoberta pelos especialistas em segurança da Symantec e associada a um grupo cibercriminoso chamado Witchetty, que teria ligações ao Cicada, ou APT10, ambos considerados associados ao governo chinês.

O ataque faz parte de uma campanha de espionagem lançada em fevereiro deste ano, atingindo dois governos do Oriente Médio e também uma corretora de ações africana. De acordo com os especialistas, apesar de altamente direcionados, este não foi o fim da onda de ataques, que continuam sendo lançados contra alvos escolhidos à dedo pelos criminosos, teoricamente à serviço da China.

Ao ocultar em uma imagem os códigos maliciosos que instalam um backdoor no PC das vítimas e pode ser usado para o download de novos malwares, os bandidos garantem que o ataque fica oculto de softwares antivírus. Além disso, a aparência legítima permite que o arquivo Bitmap seja hospedado em serviços legítimos de hospedagem e anexados a e-mails e documentos, também nào sendo flagrados como perigosos pelas ferramentas de proteção embutidas em tais plataformas.

Ajuda, ainda, o fato de a backdoor vir criptografada, sendo decodificada apenas quando encontra falhas no Microsoft Exchange ProxyShell ou ProxyLogon, em um conjunto de brechas que, inclusive, já foi resolvida pelos responsáveis. Uma vez no interior da máquina, a praga é capaz de listar os arquivos disponíveis, iniciar ou encerrar processos, alterar o registro do Windows e, no que mais interessa aos bandidos, baixar novos vírus ou extrair dados.

Roubo de credenciais, varredura de portas abertas e o estabelecimento de permanência são outros caminhos que podem ser seguidos após a contaminação inicial. No último caso, a praga se disfarça como um componente relacionado à fabricante de GPUs Nvidia como forma de evitar ser detectado mesmo em uma análise dos processos abertos na máquina.

A aplicação de atualizações, por outro lado, é o melhor caminho para proteção. Como dito, todas as brechas utilizadas pelo Witchetty na contaminação já foram corrigidas, com o uso de soluções de segurança e download de updates auxiliando na proteção contra ataques desse tipo.

Fonte: Symantec