Publicidade
Conteúdo apoiado por
Ir para o site do Surfshark!

Malware se esconde no registro do Windows para espionar digitação

Por  • Editado por Claudio Yuge | 

Compartilhe:
Reprodução/Prevailion
Reprodução/Prevailion

Uma nova campanha de ameaças tem como alvo empresas de língua russa, usando um desenvolvimento leve em JavaScript para roubar dados digitados pelas vítimas. O malware chamado de DarkWatchman começou a ser distribuído em novembro por meio de e-mails de phishing, também por criminosos do próprio país, não deixando rastros e se escondendo no registro do Windows para agir.

Esse é um dos caminhos comumente usados pelos chamados malwares fileless — ou “sem arquivo”. Neste caso, a praga cria uma tarefa agendada no sistema operacional para ser executada a cada nova inicialização do Windows, rodando a partir da memória e não armazenando arquivos no disco; durante o funcionamento, ele inicia uma chave de registro com toda a informação digitada, que é enviada a um servidor sob o controle dos criminosos quando o PC é desligado e apagada para ocultar os próprios rastros.

Apesar deste grau considerável de sofisticação, a contaminação inicial segue a rotina de sempre, com e-mails em nomes de possíveis parceiros comerciais e clientes. Como sempre, há a promessa de uma falsa nota fiscal em anexo, um arquivo no formado ZIP que, quando descompactado, contém um executável disfarçado de documento; ao ser aberto, ele realiza a instalação da praga e inicia a coleta sorrateira do que é digitado.

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
Continua após a publicidade

Chamou a atenção dos especialistas da Prevailion, responsáveis pela descoberta da praga, também o uso de algoritmos de geração de domínio, capazes de criar até 500 combinações por dia, aumentando a resiliência digital dos servidores de comando e controle, além de dificultarem investigações. Além disso, eles apontam que, caso o usuário contaminado tenha as permissões de administração necessárias, o malware também é capaz de apagar cópias e eventuais rastros, ampliando ainda mais seu aspecto sorrateiro e a capacidade de evadir soluções de segurança.

A expectativa sombria do time de pesquisadores é que, em um futuro bem próximo, o DarkWatchman possa ser modificado para abrigar soluções de ransomware, se tornando uma alternativa de entrada bastante furtiva e leve. Desde já, a praga possui capacidades de download e execução de objetos remotamente, permitindo ações como a instalação de novos malware ou até mesmo a obtenção de controle remoto do computador infectado.

A Prevailion não revelou o grupo criminoso que seria o responsável pela praga, mas ressalta o caráter contínuo deste desenvolvimento, que pode ser voltado para redes de malware como serviço e utilização em redes ou por parceiros pouco especializados. Como forma de prevenção, a empresa divulgou os indicadores de ameaça, como os registros de tráfego online deixados pelo malware e as entradas de registro maliciosas criadas por ele.

Fonte: Prevailion