Driver vulnerável da Dell é arma de criminosos em campanha de espionagem

Um driver legítimo da fabricante de computadores Dell está sendo usado em uma campanha de espionagem direcionada, operada por cibercriminosos do Lazarus, bando a serviço do governo da Coreia do Norte. No golpe, eles se passam por recrutador da Amazon e oferecem vagas de emprego, que acompanham um documento malicioso que contém o software que abre as portas para o roubo de dados confidenciais.

• Ataques virtuais | Maior parte tem motivação econômica, e espionagem cresce
• Os 5 métodos de ataque cibernético em que você precisa ficar de olho

De acordo com a empresa de segurança ESET, que emitiu alerta sobre a exploração, o golpe desenhado pelo grupo Lazarus vem sendo registrado desde o segundo semestre de 2021, com alvos predominantemente na Europa. Uma empresa aeroespacial nos Países Baixos e um jornalista político da Bélgica estão entre os alvos do ataque, focado na obtenção de informação privilegiada.

A exploração do Lazarus acontece a partir de códigos ocultos nos documentos perigosos, que entregam malwares e backdoors. O principal elemento, entretanto, é um driver legítimo da Dell, que contém uma brecha de segurança rastreada como CVE-2021-21551. Por meio dela, os criminosos são capazes de desabilitar diferentes processos do Windows a partir do kernel do sistema operacional, escapando da detecção de softwares de segurança e até de análises de especialistas para estabelecer permanência e realizar as ações criminosas.

A técnica é chamada de “Bring Your Own Vulnerabile Driver”, ou “Traga seu próprio driver vulnerável”, em inglês e em referência à dinâmica BYOD, em que colaboradores podem levar seus próprios aparelhos para trabalhar em uma empresa. De acordo com o relatório da ESET, se trata da primeira vez que a brecha no driver é explorada em ataques, enquanto a mecânica, em si, já é conhecida, ainda que tenha poucos incidentes registrados até agora.

O golpe se apoia na ideia de que tais drivers, desenvolvidos de forma legítima e assinados pelo Windows, terão passagem livre mesmo em sistemas protegidos. Mesmo PCs não-fabricados pela Dell estariam suscetíveis, enquanto a brecha, em si, permaneceu aberta por mais de 10 anos até ser descoberta e corrigida pela Dell em 2021 — a versão usada pelo Lazarus, claro, não contém esta atualização.

A principal ameaça entregue pelo Lazarus a partir dessa exploração é o Blindingcan, ferramenta que também já apareceu em ataques semelhantes, usando falsas vagas de emprego para entregar instaladores manipulados de software livre. Uma vez contaminado, o computador fica apto a receber comandos a partir de um servidor de controle, que também pode realizar a instalação de outros vírus para extração de dados e monitoramento do que acontece na máquina.

O cuidado com a engenharia social, entretanto, costuma ser o caminho para a segurança. A recomendação é que as empresas potencialmente visadas orientem seus funcionários quanto à incidência de ataques e o perigo de baixar softwares que cheguem por e-mail ou sejam indicados por desconhecidos, além de procurar sobre vagas de emprego oferecidas em sites oficiais e serviços legítimos, não cedendo a contatos feitos em redes sociais.

Fonte: ESET