Falha em ferramenta de diagnóstico do Windows é usada para espalhar malware

Uma brecha em uma ferramenta de diagnóstico do Windows está sendo usada para espalhar malware a partir de e-mails de phishing. A tática utiliza o carregamento paralelo de arquivos DLL infectados a partir de um executável conhecido por relatar problemas em aplicativos do sistema operacional, escapando da detecção de sistemas de segurança e até de uma análise direta do próprio usuário.

• Windows é alvo de 95% das novas ameaças virtuais
• Windows 10: melhores dicas de segurança para proteger seu PC

O ataque mostra certa sofisticação, enquanto seu vetor ainda é a boa e velha mensagem fraudulenta. Em nome de parceiros comerciais ou eventuais clientes, os criminosos enviam uma imagem de disco em anexo, no formato ISO, alegando ser um relatório de inventário e serviços prestados. Dentro, está um atalho do Windows e o executável legítimo, junto com a DLL perigosa que realiza a implantação do Pupy RAT, um trojan conhecido em infecções sobre usuários finais e corporativos.

O atalho, quando rodado, executa a ferramenta WerFault.exe, que vem dentro do pacote em sua versão legítima. No uso normal, ela é rodada sempre que um aplicativo do Windows apresenta problemas, de forma que a telemetria do erro seja coletada e enviada para a Microsoft; aqui, entretanto, ela funciona ao lado da faultrep.dll, cujo nome é legítimo, mas utilizada para realizar o download do vírus.

O resultado do clique é a abertura real de uma planilha financeira, de forma que o usuário não perceba o que está acontecendo nos bastidores. Uma vez instalado, o Pupy RAT pode realizar tarefas de roubo de dados de navegadores e disseminação lateral pela rede, se aproveitando de dispositivos desprotegidos que estejam conectados, enquanto aguarda comandos remotos a serem enviados por servidores sob o controle dos bandidos.

A praga de código-aberto também pode efetuar o download de novos vírus, agindo como dropper, e executar comandos maliciosos específicos, levando a mais vias de ataque. Seu formato também permite ainda mais customização pelos agentes maliciosos, uma vez que não é operada por quadrilhas de malware como serviço, mas sim, permanece disponível em mercados cibercriminosos de graça, para ser utilizada como os malfeitores desejarem.

Auxilia na contaminação, ainda, a forma com a qual aplicativos como o WerFault.exe lida com DLLs. No Windows, executáveis desse tipo sempre darão preferência a arquivos que estiverem no mesmo diretório, o que acaba permitindo o carregamento lateral de dados comprometidos sem checagem, bastando apenas que eles tenham o mesmo nome do pacote legítimo.

Os especialistas em segurança do K7 Security Labs associaram a operação a criminosos com sede na China, mas não conseguiram determinar uma quadrilha específica. No passado, o Pupy RAT foi utilizado por grupos iranianos e do país asiático em operações de espionagem governamental, a serviço dos governos de suas respectivas nacionalidades.

Ainda que a técnica seja sofisticada e venha sendo utilizada com constância, as medidas de segurança seguem relativamente simples. Os usuários devem se certificar de que os e-mails recebidos são legítimos antes de baixarem anexos, principalmente quando eles aparecerem na forma de arquivos executáveis ou imagens de disco, que costumam ser usados por cibercriminosos em golpes desse tipo.

Na dúvida, apague a comunicação e busque outros meios de contato com o suposto parceiro ou contato comercial. Como sempre, vale a pena manter o sistema operacional e as aplicações sempre atualizadas, de forma que brechas comuns sejam corrigidas e não mais representem riscos aos usuários.

Fonte: K7 Security Labs