Criminosos usam novo rootkit de Windows 10 em ataques de espionagem virtual
Por Dácio Castelo Branco | Editado por Claudio Yuge | 01 de Outubro de 2021 às 17h20
Espiões virtuais estão usando um novo rootkit compatível com Windows 10 para realizar invasões em sistemas de governos e de operadoras de telecomunicação do Sudeste Asiático.
- Vírus de Android rouba usuários após infectar mais de 10 milhões de dispositivos
- Solução de acesso digital promete diminuir os riscos de ataques ransomware
- Atualize agora! Chrome lança correção para falha crítica de segurança
O rootkit Demodex foi usado pelo grupo de cibercriminosos GhostEmperor, segundo pesquisadores da Kaspersky, como uma backdoor, ou seja, um malware usado para ter acesso e controle remoto de um sistema.
Rootkit é um software, na maioria das vezes malicioso, criado para esconder ou camuflar a existência de certos processos ou programas de métodos normais de detecção e permitir acesso exclusivo a um computador e suas informações.
Os pesquisadores da Kaspersky não encontraram nenhuma semelhança no Demodex com outros rootkits já conhecidos de Windows 10, e especulam que essa ferramenta maliciosa está sendo usado pelo grupo GhostEmperor desde julho de 2020.
O rootkit é usado, segundo o relatório, para a gangue ter acesso aos sistemas das empresas, e depois, a partir da exploração de vulnerabilidades presentes em programas de servidores, como o Apache, Windows IIS, Oracle e o Microsoft Exchange, dados como documentos, chaves de registro e tráfego de rede são coletados. Por fim, ainda segundo os pesquisadores da Kaspersky, os ataques feitos pelo grupo GhostEmperor também fazem uso de uma rede sofisticada de malwares que permite o controle remoto dos servidores atacados.
O grupo GhostEmperor
Segundo o relatório divulgado pela Kaspersky, a maioria dos ataques realizados pelo grupo GhostEmperor teve como alvo operadoras de telecomunicações e organizações governamentais de países como Malásia, Tailândia, Vietnã e Indonésia, com algumas poucas ocorrências registradas no Egito, Etiópia e Afeganistão.
Para os pesquisadores da Kaspersky, esse grupo de criminosos demonstrou uma enorme capacidade de se manter escondido por meses, e também sua capacidade técnica ao adaptar o rootkit Demodex para o Windows 10, além de um profundo entendimento da mente de especialistas de segurança digital.
Por fim, a conclusão que os pesquisadores da Kaspersky chegaram foi que os rootkits ainda devem ser levados em consideração como uma possível opção de táticas, técnicas e procedimentos (TTP) usado por criminosos para ataques virtuais.
Mais informações sobre os métodos do grupo GhostEmperor e sobre o rootkit Demodex podem ser encontrados no relatório da Kaspersky, disponível aqui.
Fonte: BleepingComputer, Kaspersky