Últimas Notícias

26 de abril de 2024
  1. Home
  2. Ciência e Tecnologia
  3. Documentos falsos e mineradores de...

Documentos falsos e mineradores de criptomoedas: especialistas identificam técnicas que 'ocultam' invasões de hackers do Vietnã

Documentos falsos e mineradores de criptomoedas: especialistas identificam técnicas que 'ocultam' invasões de hackers do Vietnã
Microsoft e Trend Micro identificaram novas ferramentas de ataque empregadas por um grupo de invasores contra alvos no Vietnã. Empresas descrevem técnicas usadas para despistar profissionais de segurança.

Simon Stratford/Freeimages

Especialistas em segurança da Microsoft e da Trend Micro detalharam novas técnicas de ataque usadas por um grupo de espiões digitais que vêm atuando contra alvos no Vietnã.

A Microsoft apontou que esses invasores podem instalar mineradores de criptomoeda para despistar os times de segurança das organizações, enquanto a Trend Micro analisou um software espião para macOS que se disfarça de documento do Word.

Embora cada empresa tenha divulgado um relatório próprio sobre suas descobertas e não haja indício de colaboração entre elas, ambas mencionaram que as técnicas foram empregadas pelo grupo de invasores conhecido como "APT32".

A Trend Micro usa o codinome "OceanLotus" para descrever esse grupo, enquanto a Microsoft se refere a eles como "Bismuth".

Outra semelhança entre os casos descritos pela Microsoft e pela Trend Micro está nos alvos atingidos: organizações no Vietnã.

Fora disso, contudo, os casos são muito diferentes. A Microsoft estudou um ataque que atingiu computadores com Windows, utilizando uma série de técnicas específicas para ocultar a atividade dos invasores nesse sistema operacional.

A Trend Micro, por sua vez, detalhou o funcionamento de um programa espião para o macOS, da Apple.

No macOS, invasores se aproveitam de extensão falsa

O ataque identificado pela Trend Micro utilizou um truque para esconder um programa malicioso de macOS em um suposto documento do Microsoft Word.

Os espiões se aproveitaram de uma particularidade técnica na maneira que computadores processam texto para fazer com que um arquivo ".doc", que normalmente seria aberto pelo Word, fosse executado como um programa.

Embora o arquivo pareça ter a extensão ".doc", ele na realidade possui um caractere invisível que faz com que o sistema não reconheça a extensão visível para o usuário.

Como o macOS não reconhece a extensão, o arquivo passa a ser aberto pelo interpretador de comandos do sistema – na prática, o arquivo se transforma em um programa.

Para completar o disfarce, os criminosos injetaram um ícone falso no programa, deixando-o com a mesma aparência de um documento de Word.

Após ser executado, o programa instala o software espião no sistema e então abre um arquivo do Word para que a vítima não suspeite que foi alvo de um ataque.

Apesar da engenhosidade desse truque, ele pode ser facilmente replicado por outros invasores – o que significa que usuários precisam ter muito cuidado ao abrir arquivos aparentemente benignos.

Minerador de criptomoeda para despistar técnicos

O ataque contra Windows descrito pela Microsoft utiliza uma série de técnicas conhecidas para se ocultar no sistema, em especial a execução por "dentro" de programas conhecidos, inclusive o próprio antivírus Defender incluído no Windows.

Ou seja, mesmo que a vítima confira o "Gerenciador de Tarefas" do Windows – que mostra os programas em execução –, ela não suspeitará da presença do vírus.

No entanto, os especialistas da empresa chamaram atenção para outro detalhe: a instalação de um minerador de criptomoeda.

Mineradores de criptomoeda se aproveitam do poder de processamento do computador invadido para contribuir com a mineração de criptomoeda em benefício do invasor.

Na prática, eles conseguem transformar o poder de processamento e a energia elétrica da vítima em um benefício financeiro para o invasor.

Como esses ataques são muito comuns, a Microsoft acredita que o objetivo dos invasores é despistar os técnicos que estiverem investigando esses ataques.

Segundo essa hipótese, os times responsáveis pela análise da invasão considerariam que o ataque é de baixa sofisticação – uma invasão "corriqueira" – após encontrar um programa malicioso com esse tipo de característica.

Induzindo os profissionais ao erro, o programa de espionagem poderia evitar uma investigação mais aprofundada. Na pior das hipóteses, a organização atacada poderia não perceber que seus dados foram roubados pelo software espião.

A Microsoft recomenda que as instituições levem isso em conta ao investigar ataques e códigos maliciosos encontrados em seus computadores.

Quem é o 'OceanLotus'

Ativo pelo menos desde 2012, o grupo que a Trend Micro chama de "OceanLotus" também já foi chamado de "SeaLotus" e de "Cobalt Kitty" no passado.

O nome "Cobalt Kitty" é uma derivação de um software comercial destinado a equipes que realizam testes de invasão e que já foi utilizado por esses invasores – eles são conhecidos por misturar ferramentas comerciais e próprias em suas ações.

O nome "Bismuth" (bismuto), adotado pela Microsoft, segue o padrão da fabricante do Windows de batizar os grupos de espiões digitais com nomes de elementos químicos.

De acordo com a Microsoft, esse grupo redige e-mails sob medida para as vítimas e até se corresponde com elas para criar um vínculo de confiança antes de enviar os arquivos maliciosos que darão início à invasão e, por sua vez, a captura de dados da rede do alvo. Pela forma de atuação, é considerado um grupo de "ameaça avançada".

Ataques do OceanLotus já foram registrados contra empresas privadas e instituições governamentais. Recentemente, a consultoria Recorded Future detalhou um ataque realizado contra o governo do Camboja.

Especialistas já vincularam as atividades desse grupo aos interesses do Vietnã, levantando inclusive a hipótese de que os responsáveis por essas ações seriam financiados pelo governo vietnamita.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Vídeos: tudo sobre segurança digital

Fonte: G1

Marília Mendonça relata crise de ansiedade: 'Não consegui me concentrar em nada'Ler anterior

Marília Mendonça relata crise de ansiedade: 'Não consegui me concentrar em nada'

Nasce Raika, filha de Alok e Romana Novais, após parto prematuroLer próxima

Nasce Raika, filha de Alok e Romana Novais, após parto prematuro

Comentários

Mais sobre Ciência e Tecnologia

BNDES investe em vacina contra covid-19 desenvolvida pela Fiocruz
Fiocruz

BNDES investe em vacina contra covid-19 desenvolvida pela Fiocruz

06/01/2024 às 09:32:15
Sistema avalia exposição ocupacional ao calor
TECNOLOGIA E SAÚDE

Sistema avalia exposição ocupacional ao calor

21/12/2023 às 09:48:55
Brasil aumenta cobertura de 8 vacinas do calendário infantil em 2023
vacina

Brasil aumenta cobertura de 8 vacinas do calendário infantil em 2023

20/12/2023 às 05:31:24

Leia também

O Brasileiro Tem que Ser Estudado: Espetáculo de Stand Up promete uma noite de humor e reflexão em Porto Ferreira
Show

O Brasileiro Tem que Ser Estudado: Espetáculo de Stand Up promete uma noite de humor e reflexão em Porto Ferreira

26/04/2024 às 10:14:22
BRK alerta para nova onda de calor que coloca região Sudeste em estado de atenção
BRK

BRK alerta para nova onda de calor que coloca região Sudeste em estado de atenção

26/04/2024 às 09:10:48
Destaques do Basquete Santa Rita brilham em campeonatos profissionais
Esporte

Destaques do Basquete Santa Rita brilham em campeonatos profissionais

26/04/2024 às 05:33:40
capa 19 de abril
assinatura online

Notícias Recentes

RC

Editorias

 

 

Mais conteúdo

© 2024 | Jornal do Porto - Fundado em 5 de junho de 1977 | Fundador: João Roberto Bellini | Conselho Administrativo: Professora Mafalda A. Scheffer Bellini | Diretor: André Luis Bellini - MTB 0080630/SP | Endereço: Rua 29 de julho, n. 1231 - Sala 2 - Centro - Porto Ferreira | Contato: (19) 3581-1227 | [email protected]

Portal de Notícias Gerenciável desenvolvido por Vupler.com