Bandidos fazem engenharia reversa em antivírus para escapar de detecção
Por Felipe Demartini • Editado por Claudio Yuge |
Uma falsa candidatura para emprego é o vetor de entrada de um vírus capaz de escapar tranquilamente dos 50 antivírus mais populares do mercado atual. O segredo da exploração está na realização de engenharia reversa dos softwares, feita pelos próprios bandidos como forma de entender como cada um deles funciona e aplicar medidas de furtividade que permitam o ingresso tranquilo em redes e computadores sem nenhum tipo de detecção.
- Falha Log4Shell renasce em ciberataques financeiros de grupo chinês
- Como diagnosticar se seu dispositivo móvel está infectado com malware
A praga foi descoberta em maio pela Unit 4 2, o time de inteligência de ameaças da empresa Palo Alto Networks. Altamente sofisticado a ponto de ser atribuído a um estado-nação, a praga foi usada em ataques contra empresas de infraestrutura, o que fez com que os especialistas o vinculassem ao grupo russo Cozy Bear, uma vez que métodos e estilos de ataque são semelhantes.
O falso currículo chega por correio eletrônico e está disponível em um arquivo no formato ISO, que quando aberto no computador, exibe as informações a partir de um documento do Word. Por trás das cortinas, entretanto, a praga realiza as tarefas de contaminação e movimentação lateral, além da extração de informações que são enviadas a servidores de comando que também controlam os próximos passos, que podem envolver o download de novas pragas para detonação de ataques.
O uso da ferramenta Brute Ratel (BRC4) na construção do malware é outro indicativo que o Cozy Bear está por trás dos ataques. Segundo a Unit 42, duas das amostras analisadas surgiram menos de 24 horas depois do lançamento de versões do software, o que indica acesso direto e um conhecimento amplo sobre suas capacidades que só poderiam estar presentes em um grupo vinculado diretamente a ele.
Esse, inclusive, é outro dos motivos pelos quais a praga consegue permanecer não detectada nas redes. O BRC4 também é usado por times internos de empresas em testes de penetração, podendo ser percebido por antivírus como uma ferramenta legítima em funcionamento. O índice de ataques ainda é baixo, o que permite, pelo menos, que as organizações se preparem para uma possível disseminação.
Ainda que a ideia seja de uma praga invulnerável a antivírus, os especialistas não dispensam seu uso e recomendam atualizações e medidas de proteção de alto nível para defender as corporações de ataques. Sistemas de inteligência de ameaças e monitoramento, bem como conscientização de colaboradores, são boas medidas de contenção, uma vez que, por mais avançada que seja a ameaça, ela ainda utiliza métodos de disseminação por e-mail comuns.
Além disso, a Unit 42 divulgou indicadores de comprometimento e outras informações técnicas que ajudarã administradores de sistema e, principalmente, desenvolvedores de softwares de segurança a se prepararem para essa ameaça.
Fonte: Unit42