Ataques com malware oculto estão a ocorrer “em grande escala”

A Kaspersky Lab descobriu que o código do Meterpreter foi associado a diversos scripts legítimos do PowerShell e outros utilitários. As ferramentas combinadas foram adaptadas a um malware que fica oculto na memória, e recolhe as senhas dos administradores do sistema de maneira invisível para que os criminosos possan controlar os sistemas da vítima remotamente. O objetivo final seria obter acesso a processos financeiros.

A empresa de segurança afirma que, desde então, descobriu que “esses ataques estão a ocorrer em grande escala”, atingindo mais de 140 redes corporativas em diversos setores de negócios. A maior parte das vítimas se encontra nos EUA, na França, Equador, Quênia, Reino Unido e Rússia. No total, foram registadas infecções em 40 países.

Não se sabe quem está por trás dos ataques. O abuso de  de software livre e utilitários comuns do Windows, além de domínios desconhecidos torna praticamente impossível determinar o grupo responsável – ou mesmo se é um único grupo ou vários grupos que partilham as mesmas ferramentas.  Os grupos conhecidos que utilizam as abordagens mais parecidas com estas são o GCMAN e o Carbanak.

Essas ferramentas também dificultam a descoberta de informações do ataque. No processo normal de resposta a incidentes, o investigador segue os rastros e as amostras deixados na rede pelos invasores. Embora os dados no disco rígido possam continuar disponíveis  após o evento, os artefatos ocultos na memória são eliminados na primeira reinicialização do computador. Felizmente, nesse caso, os especialistas conseguiram acessá-los a tempo.

“A determinação dos criminosos de esconder suas atividades e tornar a detecção e a resposta a incidentes cada vez mais difícil explica a recente vertente das técnicas antiperícia do malware baseado na memória”, explica Sergey Golovanov, pesquisador-chefe de segurança da Kaspersky Lab.

“Por isso, a perícia da memória tem se tornado essencial para a análise de malware e de suas funções. Nesses incidentes específicos, os invasores usaram todas as técnicas antiperícia imagináveis, demonstrando como os arquivos de malware não são necessários para a extração bem-sucedida de dados de uma rede e como o uso de utilitários legítimos e de software livre torna a atribuição praticamente impossível”, revela.

Os invasores ainda estão ativos; por isso, é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no Registro. E que, nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade.

Os detalhes da segunda parte da operação, que mostram como os invasores implementaram técnicas únicas para tirar dinheiro de caixas electrónicas, serão apresentados por Sergey Golovanov e Igor Soumenkov no Global Security Analyst Summit, que acontecerá de 2 a 6 de abril de 2017.

Ana Rita Guerra

Jornalista de economia e tecnologia há mais de dez anos, interessa-se pelas ideias disruptivas que estão a mudar a forma como se consome e se trabalha. Vive em Los Angeles e tem um gosto especial por startups, música, papas de aveia e kickboxing.

Recent Posts

Carris Metropolitana tem novo website mobile-first

Depois do lançamento da app, o site surge agora com novas funcionalidades e mais transparência…

2 dias ago

Bit2Me STX inicia testes Sandbox para bolsa de valores blockchain

O Bit2Me STX é uma das primeiras infraestruturas do mercado financeiro blockchain destinada a operar…

3 dias ago

150 mil euros para promover a inovação na Indústria

Bolsa Jorge de Mello é dirigida a investigadores em Portugal e visa impulsionar a investigação…

4 dias ago

UCP é reconhecida como a instituição universitária mais empreendedora em Portugal

O ranking reconhece e destaca o papel crescente das universidades na promoção do empreendedorismo em…

7 dias ago

Visa vai equiparar criadores de conteúdo a PME

O objetivo desta medida é o crescimento económico e o acesso a pagamentos online seguros…

1 semana ago

MEO Empresas lança acesso à internet com velocidades simétricas de 100Gbps

Este novo serviço é especialmente indicado para fornecedores de conteúdos e sites transacionais que procuram…

1 semana ago