LightNeuron | ESET descobre malware backdoor do Microsoft Exchange
Por Natalie Rosa | 13 de Maio de 2019 às 20h30
A ESET acaba de anunciar a descoberta do LightNeuron, um malware backdoor do Microsoft Exchange que pode fazer leitura, modificação ou bloqueio de qualquer e-mail que passe pelo servidor. O vírus também pode redigir e enviar novas mensagens usando qualquer usuário legítimo para se identificar, controlado de forma remota por meio de anexos PDF e JPG ocultos em mensagens de e-mails.
Foram identificadas três organizações diferentes que se tornaram vítimas do malware, sendo uma do Brasil, incluindo um ministério de relações exteriores em um país da europa oriental e uma organização diplomática regional do Oriente Médio. Até o momento, ainda não se sabe qual organização brasileira foi afetada.
O LightNeuron é considerado o primeiro malware a usar de forma incorreta o mecanismo do Microsoft Exchange, onde age desde 2014. Matthieu Fou, pesquisador de malware da ESET e responsável pela investigação, conta que o LightNeuron pode operar com o mesmo nível de confiança que produtos de segurança, assim como filtros de spam. "Como resultado, esse malware oferece ao invasor controle total sobre o servidor de e-mail e, portanto, sobre toda a comunicação do usuário", diz o especialista.
A ESET também coletou evidências de que o LightNeuron pertence ao grupo de espionagem Turla, conhecido também como Snake, já investigado pela companhia.
Tática
O malware faz o uso da esteganografia para ocultar seus comandos em imagens JPG e PDF inválidas, sendo a ferramenta perfeita para vazar documentos e fazer o controle de outras máquinas locais de forma difícil de detectar e bloquear.
"Devido a melhorias de segurança em sistemas operacionais, os cibercriminosos precisam de persistência no uso de ferramentas que podem habitar o sistema de destino, encontrar documentos valiosos e desviá-los, tudo sem levantar suspeitas", complementa Faou.
A limpeza do malware não é nada fácil, pois não basta apenas excluir arquivos maliciosos. "Encorajamos os administradores de sistemas a ler o documento de pesquisa da ESET em sua totalidade antes de implementar um mecanismo de limpeza", completa o executivo.
O estudo completo está disponível para consulta online.