Cuidado com este novo malware do Windows, ele ataca um lugar incomum no sistema!

No Windows, os hackers conseguiram desenvolver um tipo de malware ultra-sofisticado e novo. Para isso, atacam o gerenciador de eventos do sistema operacional, uma técnica inédita que permite recuperar todo tipo de informação confidencial armazenada no computador infectado. Sem que o sistema perceba que foi corrompido, é claro.

Foi considerado seguro contra qualquer possibilidade de infecção do PC. Por sua natureza, o visualizador de eventos é uma ferramenta muitas vezes esquecida e não pretende realizar nada. No entanto, os hackers conseguiram explorá-lo, de modo que serve como um catalisador para malware.

Os pesquisadores da Kaspersky estão por trás dessa descoberta. A equipe de pesquisa explica sua descoberta nestes termos: “Em fevereiro de 2022, observamos a técnica de coloque o shellcode nos logs de eventos do Windows pela primeira vez durante um ataque malicioso. Ele permite que um Trojan “sem arquivo” fique oculto à vista de todos no sistema de arquivos.”

Leia também: Antivírus russo Kaspersky é banido dos Estados Unidos, representa “um risco para a segurança nacional”

Essa ameaça se espalha pelo Visualizador de Eventos do Windows

Para informação, o visualizador de eventos se encarrega de gravar todos os eventos do sistema, erros que ocorrem assim que você usa o sistema operacional etc. Este observador permite identificar bugs ou travamentos do Windows, analisá-los e/ou enviá-los a um administrador. É acessível através do menu de contexto do menu Iniciar, que está disponível com um simples clique com o botão direito do mouse no ícone do Windows na barra de tarefas.

Embora presente em todas as versões do Windows, o visualizador de eventos é frequentemente ignorado pelos usuários. Quem desconfiaria de uma ferramenta que apenas lista bugs? No entanto, os hackers conseguiram sequestrá-lo, para torná-lo uma ferramenta para espalhar malware.

Denis Legezo, pesquisador da Kaspersky, diz que a técnica utilizada é a primeira no mundo da cibersegurança. Consiste em copiar o executável WerFault.exe (um arquivo legítimo do Windows) para o diretório C:\Windows\Tasks. Ele copia o arquivo wer.dll, que está anexado ao Relatório de Erros do Windows e também é um arquivo de sistema operacional legítimo, para o mesmo local. Tudo isso sem o conhecimento do usuário e do próprio Windows.

E é aí que a ameaça começa a agir, pois altera o conteúdo da DLL, para carregar conteúdo malicioso. Para fazer isso, o malware procura nos logs de eventos dados muito específicos (digite 0x4142 – ‘AB’ em ASCII). Se não os encontrar, injeta um pequeno pedaço de código criptografado de 8 KB, que contém um malware ou vários malwares. Software malicioso que será executado posteriormente.

Observador de eventos de malware do Windows
O malware grava informações usando shellcode no log de eventos do Windows. (crédito da captura: Kaspersky).

Um tipo de propagação de malware nunca visto antes no Windows

Depois que o malware é configurado e lançado, o invasor pode roubar todos os dados pessoais do usuário. Se este método que consiste em hackear o observador de eventos é novo, o ataque, no entanto, depende em ferramentas de hacking existentes facilmente encontradas na Web. Os pesquisadores encontraram vestígios de trojans conhecidos no código malicioso, como Throback e Slingshot, dois malwares encontrados em um “kit” de hackers chamado SilentBreak.

Segundo a Kaspersky, a tecnologia utilizada faz parte de uma campanha “muito direcionada”. Esta técnica é única na medida em que atua sem depender inicialmente de um conjunto de arquivos externos. Ele usa os arquivos já presentes no sistema operacional para alterar seu conteúdo.

Se os pesquisadores da Kaspersky não fornecerem detalhes sobre as edições do Windows em questão, é provável que isso afete todas as edições do sistema operacional indiscriminadamente, do Windows 7 ao Windows 11, incluindo Família, Profissional, etc. A Kaspersky também não especifica se algum tipo de solução antiviral hoje é capaz de detectar essa nova ameaça.

Fonte : Kaspersky

Leave a Reply

Your email address will not be published.