Malware usa falhas no Windows e produtos Adobe para espionar empresas

Um grupo austríaco que fornece ferramentas de espionagem foi ligado pela Microsoft ao bando cibercriminoso Knotweed, apontado como o responsável por ataques em pelo menos dois continentes. Os bandidos utilizam falhas zero-day no Windows e Adobe Reader para obter acesso a computadores de empresas de interesse para roubar dados, comprometer outros dispositivos ligados à rede e executar códigos remotamente.

• Países investem mais em espionagem digital e ataques contra inimigos políticos
• Apple apresenta recurso que protege donos do iPhone de espionagem

A organização em questão se chama DSIRF, apontada como responsável por uma série de ataques utilizando o malware Subzero pela Microsoft. Oficialmente, ela promete oferecer serviços de pesquisa, inteligência de ameaças e forênsica digital, mas também estaria ligada aos golpes voltados à espionagem industrial e ao roubo de informações de consultorias, empresas de advocacia e bancos da América Central e Europa, incluindo ataques no Reino Unido, Panamá e Áustria.

A ligação entre as duas partes se deu depois que o Centro de Inteligência de Ameaças da Microsoft encontrou infraestruturas sendo usadas tanto para disseminar o malware quanto para certificar operações legítimas da DSIRF. Contas associadas no GitHub e certificados também coincidem, o que indica uma outra face das operações supostamente legítimas da DSIRF.

Enquanto isso, o ataque envolvendo o Subzero acontece em partes, envolvendo payloads como o Corelump e Jumplump, ambos capazes de escapar de detecção enquanto se infiltram na memória dos dispositivos para rodar códigos. A entrada acontece por meio de brechas já conhecidas e atualizadas no Windows e Adobe Reader, com os bandidos confiando na demora de organizações em corrigirem seus sistemas.

CVEs como 2022-22074, 2021-36948, 2021-31199 e 2021-31201, no sistema operacional, são usadas para escalar privilégios, assim como a CVE-2021-28550 do Adobe Reader. Uma vez no sistema, a praga é capaz de registrar dados digitados, capturar screenshots e extrair dados, ao mesmo tempo em que permite a inserção de novos malwares e plugins para navegadores carregados a partir dos servidores de comando e controle.

Auxilia na exploração o fato de o malware ser assinado pelo certificado da DSIRF, considerado válido, além da aplicação de estratégias de ofuscação que envolvem o uso de códigos e a desativação de credenciais de acesso. Os comportamentos da exploração se assemelham aos de times de simulação de ameaças ou intrusões, o que pode fazer com que sistemas automatizados de segurança ignorem os sinais de ataque, acreditando estarem relacionados a treinamentos legítimos.

Em um alerta sobre o caso, a Microsoft divulgou indicadores de comprometimento e pediu que as organizações deem atenção às atualizações do Windows, principalmente aquelas relacionadas à CVE-2022-22047, que vem sendo ativamente explorada. Mudar configurações de macros dos aplicativos do pacote Office, ativar autenticação em duas etapas em sistemas críticos e monitorar as atividades de rede também auxiliam a evitar os ataques.

Além disso, o Defender também foi atualizado para levar em conta os indicadores de ameaça relacionados ao Subzero e à Knotweed. A empresa alerta, principalmente, organizações envolvidas com ativismo político contra países com governos autoritários, jornalistas, dissidentes e partidários dos direitos humanos, que parecem ser o principal alvo dos golpes.

Fonte: Microsoft