Malware se esconde no registro do Windows para espionar digitação
Por Felipe Demartini • Editado por Claudio Yuge |
Uma nova campanha de ameaças tem como alvo empresas de língua russa, usando um desenvolvimento leve em JavaScript para roubar dados digitados pelas vítimas. O malware chamado de DarkWatchman começou a ser distribuído em novembro por meio de e-mails de phishing, também por criminosos do próprio país, não deixando rastros e se escondendo no registro do Windows para agir.
Esse é um dos caminhos comumente usados pelos chamados malwares fileless — ou “sem arquivo”. Neste caso, a praga cria uma tarefa agendada no sistema operacional para ser executada a cada nova inicialização do Windows, rodando a partir da memória e não armazenando arquivos no disco; durante o funcionamento, ele inicia uma chave de registro com toda a informação digitada, que é enviada a um servidor sob o controle dos criminosos quando o PC é desligado e apagada para ocultar os próprios rastros.
Apesar deste grau considerável de sofisticação, a contaminação inicial segue a rotina de sempre, com e-mails em nomes de possíveis parceiros comerciais e clientes. Como sempre, há a promessa de uma falsa nota fiscal em anexo, um arquivo no formado ZIP que, quando descompactado, contém um executável disfarçado de documento; ao ser aberto, ele realiza a instalação da praga e inicia a coleta sorrateira do que é digitado.
Chamou a atenção dos especialistas da Prevailion, responsáveis pela descoberta da praga, também o uso de algoritmos de geração de domínio, capazes de criar até 500 combinações por dia, aumentando a resiliência digital dos servidores de comando e controle, além de dificultarem investigações. Além disso, eles apontam que, caso o usuário contaminado tenha as permissões de administração necessárias, o malware também é capaz de apagar cópias e eventuais rastros, ampliando ainda mais seu aspecto sorrateiro e a capacidade de evadir soluções de segurança.
A expectativa sombria do time de pesquisadores é que, em um futuro bem próximo, o DarkWatchman possa ser modificado para abrigar soluções de ransomware, se tornando uma alternativa de entrada bastante furtiva e leve. Desde já, a praga possui capacidades de download e execução de objetos remotamente, permitindo ações como a instalação de novos malware ou até mesmo a obtenção de controle remoto do computador infectado.
A Prevailion não revelou o grupo criminoso que seria o responsável pela praga, mas ressalta o caráter contínuo deste desenvolvimento, que pode ser voltado para redes de malware como serviço e utilização em redes ou por parceiros pouco especializados. Como forma de prevenção, a empresa divulgou os indicadores de ameaça, como os registros de tráfego online deixados pelo malware e as entradas de registro maliciosas criadas por ele.
Fonte: Prevailion