Publicidade

Novos ataques continuam usando Linux para atacar sistemas com Windows

Por| Editado por Claudio Yuge | 17 de Setembro de 2021 às 14h40

Link copiado!

Divulgação/Intezer
Divulgação/Intezer

Uma tecnologia que melhora a compatibilidade de aplicativos com interface Linux no Windows segue sendo usada como uma arma usual de cibercriminosos, em ataques que permitem a instalação remota de malwares e a evasão de sistemas tradicionais de segurança. Os ataques vêm acontecendo desde maio e, apesar de ainda não registrarem tantos casos, mostram que mais e mais tentativas estão acontecendo enquanto os bandidos seguem aprimorando soluções maliciosas.

O centro das tentativas de golpe é o Subsistema Windows para Linux (WSL, na sigla em inglês). O recurso vem recebendo atenção especial dos criminosos desde meados de 2019, e recentemente, também ganha atualizações constantes da Microsoft na tentativa de mitigar alguns dos ataques detectados por especialistas; essa briga de gato e rato, entretanto, mostra que a plataforma cada vez mais vem sendo um foco.

De acordo com a Black Lotus, braço de pesquisa da empresa de segurança Lumen, novas explorações relacionadas ao WSL aparecem a cada duas ou três semanas, sempre focadas na entrega de arquivos e executáveis maliciosos de forma remota. Os bandidos estudam novas formas de usar a integração de Linux e Windows para rodar processos, enquanto trabalham em ocultar seus próprios servidores de controle e experimentam possibilidades que, às vezes, passam pelo crivo das soluções de segurança.

Continua após a publicidade

Os arquivos perigosos foram escritos na linguagem de programação Python e acabam compilados em um formato Linux, funcionando como carregadores quando implementados no Windows. De acordo com os responsáveis pelo alerta, não se trata de uma técnica muito sofisticada, mas a baixa taxa de detecções pode ser mais um indicativo de campanhas de ataque em desenvolvimento do que do sucesso de políticas de segurança, com os criminosos trabalhando em melhorias que podem tornar esta uma ameaça mais perigosa no futuro.

Detecção dos ataques continua sendo um desafio para especialistas

Enquanto isso, os especialistas da Lumen apontam para o fato que poucos softwares de proteção são capazes de detectarem ataques usando o WSL, com uma amostra hospedada no site Virus Total demonstrando apenas uma identificação positiva até meados de agosto. A versão indicada não realiza ações maliciosas, mas é capaz de exibir uma mensagem em russo no sistema, a partir de um servidor remoto, indicando que, sim, seria capaz de carregar aplicações à distância. As detecções foram realizadas no Equador e na França.

Os detalhes técnicos foram divulgados pelos pesquisadores que, agora, apontam uma corrida contra o tempo até que tais ataques se tornem mais populares e efetivos. Acima disso, a ideia é que os ataques deixaram a camada da teoria e podem se tornar um perigo prático no futuro próximo, com o desenvolvimento de novas soluções maliciosas e golpes que se aproveitem de outras vulnerabilidades conhecidas em dispositivos e servidores Windows.

Continua após a publicidade

A pressa é dos especialistas, agora, que precisam trabalhar em métodos de detecção e mitigação de tais campanhas, seja a partir dos IPs das conexões remotas ou de indicadores de ameaça que possam detectar uma tentativa de intrusão. Além disso, a recomendação para os administradores de sistemas em que o WSL esteja ativado é o monitoramento constante de conexões e elementos, de forma a identificar rapidamente qualquer coisa que saia do normal.

Fonte: Lumen