Microsoft e Cisco descobrem malware que transformava PCs em ‘zumbis’
Um malware recém-descoberto transforma computadores Windows em algo que a Microsoft está chamando de “proxies zumbis” ao utilizar programas legítimos como um meio para a infectar os PCs. De acordo com a empresa, milhares de máquinas foram afetadas nos Estados Unidos e Europa.
Pesquisadores da Microsoft e da Cisco Talos publicaram relatórios nesta semana que destacam a ciberameaça, batizada de Nodersok e Divergent, respectivamente.
Essas campanhas de malware possuem os mesmos propósitos, independente do nome: fazer com que usuários baixem e rodar uma aplicação HTLM (HTA), que muito provavelmente é distribuída por meio de anúncios maliciosos.
Com isso, era engatilhado um processo de invasão elaborado que deixa poucos traços, uma vez que se aproveita de programas existentes ou faz o download de ferramentas legítimas como o NodeJS, um aplicativo que executa Javascript fora de um navegador web, e o WinDivert, um aplicativo usado para capturar e desviar pacotes de rede.
“Todas as funcionalidades relevantes residem em scripts e shellcodes que quase sempre vêm criptografados, são descriptografados e executados apenas na memória. Nenhum executável malicioso é gravado no disco”, explica uma publicação no blog da Microsoft. Por causa disso, os especialistas em segurança cibernética chamam essa técnica de “ataques sem arquivo”.
O malware é capaz de desativar o Windows Defender, o que explica como ele evita o antivírus por tanto tempo. Há divergências, porém, sobre o objetivo final do software malicioso após assumir o controle do computador.
A Microsoft acredita que os atacantes usam esse proxy para acessar outras redes e “realizar atividades maliciosas furtivas”. Enquanto isso, a Cisco Talos argumenta que o malware compartilha várias características com outros vírus projetados para realizar fraudes de cliques, uma tática que custou cerca de US$ 19 bilhões a anunciantes somente no ano passado, segundo a Forbes.
De qualquer forma, a Microsoft afirma que a campanha infectou milhares de máquinas, com a maioria dos ataques realizados neste mês e direcionados a consumidores. Ambas as empresas de cibersegurança afirmam que seus softwares antivírus foram atualizados para detectar o avanço desse malware.
Os relatórios foram publicados apenas alguns meses depois que a Agência Nacional de Segurança (NSA) pediu aos usuários que atualizassem suas máquinas Windows na esteira de uma vulnerabilidade crítica de segurança conhecida como BlueKeep, que a Microsoft corrigiu em maio.