DevSecOps

10 fev, 2017

Malware oculto utiliza software livre para atacar

Publicidade

Especialistas da Kaspersky Lab revelaram ataques em grande escala que já atingiram mais de 140 redes corporativas em vários setores de negócios, sendo que a maior parte das vítimas se encontra nos EUA, na França, Equador, Quênia, Reino Unido e Rússia – o Brasil está entre os 10 países afetados.

As violações acontecem via software de testes de penetração Meterpreter, muito usado hoje com fins maliciosos na memória de seus servidores. A Kaspersky Lab descobriu que o código do Meterpreter foi associado a diversos scripts legítimos do PowerShell e outros utilitários.

As ferramentas combinadas foram adaptadas em um código malicioso que fica oculto na memória, coletando as senhas dos administradores do sistema de maneira invisível para que os criminosos pudessem controlar os sistemas da vítima remotamente. Aparentemente, o objetivo final seria obter acesso a processos financeiros.

[awprm urls=https://imasters.com.br/noticia/malware-para-android-ataca-roteadores-via-smartphone/,https://imasters.com.br/noticia/brasil-esta-entre-tres-paises-com-mais-registro-de-infeccao-por-malware-movel/]

Os especialistas afirmaram que não se sabe quem está por trás dos ataques. O abuso de software livre e utilitários comuns do Windows, além de domínios desconhecidos, torna praticamente impossível determinar o grupo responsável.

Além disso, segundo o site Convergência Digital, essas ferramentas dificultam a descoberta de informações do ataque. No processo normal de resposta a incidentes, o investigador segue os rastros e as amostras deixados na rede pelos invasores. Apesar de os dados no disco rígido poderem continuar disponíveis após o evento, os artefatos ocultos na memória são eliminados na primeira reinicialização do computador. Felizmente, nesse caso, os especialistas conseguiram acessá-los a tempo.

Os especialistas sustentam que os invasores ainda estão ativos e alertam: é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no Registro. Nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade.