Criminosos usam novo rootkit de Windows 10 em ataques de espionagem virtual

Criminosos usam novo rootkit de Windows 10 em ataques de espionagem virtual

Por Dácio Castelo Branco | Editado por Claudio Yuge | 01 de Outubro de 2021 às 17h20
Reprodução/Top Gadget

Espiões virtuais estão usando um novo rootkit compatível com Windows 10 para realizar invasões em sistemas de governos e de operadoras de telecomunicação do Sudeste Asiático.

O rootkit Demodex foi usado pelo grupo de cibercriminosos GhostEmperor, segundo pesquisadores da Kaspersky, como uma backdoor, ou seja, um malware usado para ter acesso e controle remoto de um sistema.

Rootkit é um software, na maioria das vezes malicioso, criado para esconder ou camuflar a existência de certos processos ou programas de métodos normais de detecção e permitir acesso exclusivo a um computador e suas informações.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Os pesquisadores da Kaspersky não encontraram nenhuma semelhança no Demodex com outros rootkits já conhecidos de Windows 10, e especulam que essa ferramenta maliciosa está sendo usado pelo grupo GhostEmperor desde julho de 2020.

Esquema representando como o ataque do grupo GhostEmperor é realizado. (Imagem: Reprodução/Kaspersky)

O rootkit é usado, segundo o relatório, para a gangue ter acesso aos sistemas das empresas, e depois, a partir da exploração de vulnerabilidades presentes em programas de servidores, como o Apache, Windows IIS, Oracle e o Microsoft Exchange, dados como documentos, chaves de registro e tráfego de rede são coletados. Por fim, ainda segundo os pesquisadores da Kaspersky, os ataques feitos pelo grupo GhostEmperor também fazem uso de uma rede sofisticada de malwares que permite o controle remoto dos servidores atacados.

O grupo GhostEmperor

Segundo o relatório divulgado pela Kaspersky, a maioria dos ataques realizados pelo grupo GhostEmperor teve como alvo operadoras de telecomunicações e organizações governamentais de países como Malásia, Tailândia, Vietnã e Indonésia, com algumas poucas ocorrências registradas no Egito, Etiópia e Afeganistão.

Para os pesquisadores da Kaspersky, esse grupo de criminosos demonstrou uma enorme capacidade de se manter escondido por meses, e também sua capacidade técnica ao adaptar o rootkit Demodex para o Windows 10, além de um profundo entendimento da mente de especialistas de segurança digital.

Por fim, a conclusão que os pesquisadores da Kaspersky chegaram foi que os rootkits ainda devem ser levados em consideração como uma possível opção de táticas, técnicas e procedimentos (TTP) usado por criminosos para ataques virtuais.

Mais informações sobre os métodos do grupo GhostEmperor e sobre o rootkit Demodex podem ser encontrados no relatório da Kaspersky, disponível aqui.

Fonte: BleepingComputer, Kaspersky

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.