Cibercriminosos usam versões destes softwares livres para atacar empresas

A Microsoft emitiu um alerta apontando o uso de softwares de código aberto como forma de comprometimento de sistemas corporativos pelo Lazarus. O grupo cibercriminoso, com ligações ao regime da Coreia do Norte, estaria utilizando versões comprometidas de pelo menos cinco aplicativos para abrir portas de entrada em redes privadas ou de governos.

• Países investem mais em espionagem digital e ataques contra inimigos políticos
• Os 5 métodos de ataque cibernético em que você precisa ficar de olho

Os golpes, de acordo com a gigante, estariam concentrados em setores de tecnologia, mídia, entretenimento e defesa, além das redes de administrações públicas. Já os softwares usados nas campanhas são de diferentes tipos, desde leitores de PDF até emuladores de terminais de acesso remoto. Confira a lista:

• PuTTY;
• KiTTY;
• TightVNC;
• Sumatra PDF Reader;
• muPDF.

A contaminação pelo Lazarus acontece a partir da manipulação de instaladores dos softwares. Quando a versão comprometida é baixada, o app esperado é efetivamente entregue, mas acompanha também a backdoor Blindingcan (também conhecida como ZetaNile), que permite o movimento lateral dos bandidos pela rede e a descoberta de terminais desprotegidos, com o objetivo final de roubar dados.

Na outra ponta, segundo a Microsoft, os ataques envolvem engenharia social, com profissionais de suporte técnico, TI e engenheiros das empresas-alvo sendo contatados por supostos recrutadores de grandes empresas no LinkedIn. Como os ataques são direcionados, há uma etapa extensiva de pesquisa antes da realização do golpe, que começa na rede social e leva a conversa para o WhatsApp, onde os softwares são entregues para acesso a supostos contatos de trabalho, comunicação ou submissão de currículos.

Segundo a companhia, os ataques do Lazarus com essa técnica começaram a ser registrados em abril de 2022, com as últimas ocorrências em setembro deste ano. Corporações dos Estados Unidos, Índia e Reino Unido foram alvo de uma campanha que a Microsoft considera ainda em andamento e podendo fazer novas vítimas.

O Lazarus é um dos grupos cibercriminosos mais ativos nas operações de guerra cibernética da Coreia do Sul. As campanhas de espionagem envolvem, principalmente, a intrusão em grandes empresas cujos dados são interessantes para o regime, além de bancos e câmbios de criptomoeda cujos fundos são desviados para financiamento do governo do país. Entre seus ataques mais notórios estão a invasão aos sistemas da Sony Pictures, em 2014, e a disseminação do malware WannaCry em 2017.

Em seu relatório, a Microsoft divulgou detalhes técnicos sobre as ameaças e indicadores de comprometimento. A principal recomendação é de atenção no contato com recrutadores e o download de aplicações a partir disso, com os funcionários de empresas visadas sendo informados sobre a possibilidade de serem alvo de campanhas de intrusão e os métodos usados pelos bandidos.

Fonte: Microsoft