Windows Update é utilizado por grupo norte-coreano para espalhar ameaça virtual

Windows Update é utilizado por grupo norte-coreano para espalhar ameaça virtual

Por Dácio Castelo Branco | Editado por Claudio Yuge | 28 de Janeiro de 2022 às 15h00
Montagem: Caio Carvalho/Canaltech

O grupo de cibercriminosos Lazarus, da Coreia do Norte, está utilizando o Windows Update, serviço de atualizações para o sistema operacional da Microsoft, para propagar suas ameaças virtuais. Os fraudadores utilizam invasões do tipo living-off-the-land (vivendo do território, em tradução livre) pára enganar soluções antivírus e modificar a operação do recurso presente em várias versões do Windows.

A ameaça, descoberta por pesquisadores membros da equipe de análise de ameaças do antivírus Malwarebytes, tem início após o download de arquivos maliciosos espalhados em e-mails de phishing que se passam pela empresa de segurança dos EUA Lockheed Martin.

O fluxo do ataque para utilizar o Windows Update como vetor. (Imagem: Reprodução/MalwareBytes)

Se os anexos, normalmente arquivos do Word, são abertos, eles executam macros do editor de textos da Microsoft que baixam agentes maliciosos que modificam a forma que o Windows Update atua, além de um arquivo DLL, obtido a partir de uma conexão com um repositório no GitHub.

Com essa modificação, o Windows Update em vez de baixar atualizações, executa o arquivo DLL malicioso baixado na etapa anterior, ganhando assim acesso completo ao sistema da máquina infectada.

Ataque com Windows Update não é novidade

É importante frisar que a tática de utilizar o Windows Update nesse tipo de golpe não é novidade, sendo detalhada ao público pela primeira vez em outubro de 2020 pelo pesquisador de segurança David Middlehurst. A nova execução, porém, é notável por envolver o grupo Lazarus.

O Lazarus, também identificado como Hidden Cobra por agências de segurança dos EUA, é um grupo de invasores virtuais com conexões aos militares da Coreia do Norte. Entre seus feitos mais notáveis, citamos a idealização e controle em 2017 da campanha de ransomware WannaCry, que atingiu grandes bancos e empresas como a Sony Filmes.

As recomendações para proteção contra o ataque mais recente do Lazarus é a mesma para proteção contra a maioria de ataques de phishing, que listamos abaixo:

  • Se suspeitar de alguém estar se passando por uma empresa em um e-mail, não abra nenhum link ou anexo recebido deles, e tire a dúvida com a pessoa, por outro canal de comunicação;
  • Pense no contexto da mensagem. Você tem alguma conexão com essa instituição? Eles costumam falar com você por esse canal? Na dúvida, entre em contato com centrais de atendimento oficiais da instituição;
  • Por fim, mas não menos importante: use antivírus.

Fonte: Malwarebytes

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.