Malware para Windows 10 é usado para atacar ativistas e jornalistas

Jornalistas e ativistas do Oriente Médio ou ligados a causas ou cobertura da região estão na mira de um novo malware, que se instala por meio de um backdoor encontrado no Windows 10. O spyware é capaz de manipular e roubar dados disponíveis no computador, além de permitir aos invasores o controle completo da máquina para a realização de outras atividades.

A vulnerabilidade está associada a um sistema chamado Windows Background Intelligent Transfer, ou BITS, usado pela Microsoft para enviar atualizações do sistema operacional e detectar quando a rede não está sendo utilizada para o download de updates. Outras empresas de software também podem usar o recurso, e é justamente ele que serve para fazer a comunicação entre o spyware e os servidores controlados pelos hackers.

A praga, que teria sido criada em 2015, chega ao computador como um arquivo DLL, por meio de softwares ou links de download comprometidos. Uma vez instalado, ele passa a carregar junto com o Windows 10, enquanto a utilização do BITS para comunicação com servidores remotos serve para ocultar a atividade da praga de firewalls e outros programas de segurança. Uma vez inicializado, ele permite o controle total da máquina, principalmente para monitoramento de informações recebidas e localização de indivíduos de interesse.

A descoberta é dos especialistas da empresa de segurança digital ESET, que associaram a operação a um grupo hacker chamado Stealth Falcon, que vem trabalhando em campanhas de infecção com caráter político, pelo menos, desde 2012. O principal foco são os dissidentes dos Emirados Árabes Unidos, o que indica que a nova sequência de ataques também pode estar relacionada aos líderes do país.

Mais do que isso, a empresa de segurança cita relatórios da Anistia Internacional, que ligam o Stealth Falcon a uma empresa privada de cibersegurança chamada DarkMater, que teria trabalhado ao lado da NSA (a Agência Nacional de Segurança dos EUA), justamente, em operações voltadas ao rastreamento de dissidentes nos Emirados Árabes Unidos. Na época, a companhia negou qualquer relação com o governo americano.

No caso específico da nova praga, além de alvos na Arábia Saudita e Emirados Árabes Unidos, a ESET identificou instâncias de ataques na Holanda e Tailândia. As identidades ou setores visados não foram revelados publicamente, com exceção de um único caso, em que uma missão diplomática a um país do Oriente Médio teve informações interceptadas pelos criminosos.

Como se trata de uma operação com fins políticos, usuários comuns não devem ser afetados por ela. Ainda assim, quem quiser ficar atento deve prestar atenção a movimentações inesperadas na rede, principalmente em momentos de inatividade, e em processos suspeitos que são iniciados junto com o Windows 10. Além disso, vale a orientação de sempre para evitar clicar em links maliciosos ou fazer o download de arquivos suspeitos, mesmo que eles venham de fontes supostamente confiáveis.

Fonte: ESET