Quadrilha esconde malware em imagens para atacar alvos governamentais
Por Felipe Demartini • Editado por Claudio Yuge |
Um grupo de ameaças conhecido como APT37 está usando uma técnica ousada para ocultar códigos maliciosos em imagens. Os arquivos no formado JPG são enviados por e-mail e, quando abertos, executam malwares que são implantados no Windows para roubo de dados digitados, capturar o que aparece na tela e desviar informações.
- Bandidos escondem vírus em imagem do logo do Windows
- Quatro métodos usados por vírus para escapar de softwares de segurança
Os alvos seriam agências governamentais e organizações oficiais do governo da Coreia do Sul, enquanto o grupo, que também atende por nomes como RedEyes e ScarCruft, trabalharia a serviço do regine norte-coreano. A campanha de infecções com o uso de esteganografia segue em andamento e, inclusive, se aproveita de uma vulnerabilidade antiga em uma aplicação de processamento de texto chamada Hangul.
A brecha CVE-2017-8291, resolvida originalmente em 2018, já apareceu em golpes envolvendo o furto de criptomoedas contra usuários coreanos. No caso do APT37, a ideia é se aproveitar da falta de atualização do parque tecnológico governamental para possibilitar a execução de códigos maliciosos a partir da imagem recebida em campanhas de phishing ou engenharia social.
O vírus M2RAT, um malware de acesso remoto, é injetado no processo Explorer do próprio Windows e adiciona valores ao registro do sistema operacional, executando comandos a partir do CMD para se estabelecer na máquina. A coleta de dados e o envio a servidores controlados pelos bandidos acontece de forma periódica, sem a necessidade de controle remoto, enquanto a praga também é capaz de vasculhar dispositivos conectados, principalmente celulares e tablets.
No caso dos aparelhos, a busca também é por documentos e mensagens, mas também gravações de voz, imagens e vídeos; quando algo interessante é encontrado, os dados são copiados para o PC e enviado a servidores controlados pelos criminosos. De forma a evitar detecção, todo o volume é compactado em RAR, com direito a senha, com a cópia local send apagada após a transferência.
O relatório do Centro de Segurança e Respostas Emergenciais da empresa AhnLab, da Coreia do Sul, também aponta o uso de setores compartilhados da memória para que a praga se esconda. Assim, ela minimiza ao máximo sua presença no sistema operacional contaminado, principalmente no que toca o contato com servidores, e reduz a chance de ser localizada por softwares de proteção.
A campanha é apenas a mais recente a ser realizada pelo APT37, que também já mirou organizações da União Europeia e Estados Unidos, bem como jornalistas e dissidentes políticos, sempre em ataques bem direcionados. Brechas em softwares como Internet Explorer e no próprio Windows também fazem parte do rol ofensivo da quadrilha, que também realiza operações de roubo de criptomoedas que, supostamente, servem para financiar o regime da Coreia do Norte.
Fonte: Ahnlab