Malware oculto ataca empresas em 40 países

A empresa de segurança da informação Kaspersky Lab descobriu que esses ataques estão ocorrendo em grande escala. Ela afirma que eles atingem mais de 140 redes corporativas em diversos setores de negócios, sendo que a maior parte das vítimas se encontra nos EUA, França, Equador, Quênia, Reino Unido e Rússia. O Brasil está entre os dez países afetados. No total, foram registradas infecções em 40 países.

Especialistas da Kaspersky Lab divulgam que em 2016 foram contatados por bancos na Comissão Especial de Inquérito (CEI), que encontraram o software de testes de penetração Meterpreter, usado com fins mal-intencionados, na memória de seus servidores.

A empresa detectou que o código do Meterpreter foi associado a diversos scripts legítimos do PowerShell e outros utilitários. As ferramentas combinadas foram adaptadas em um código malicioso que fica oculto na memória, coletando as senhas dos administradores do sistema de maneira invisível para que os criminosos pudessem controlar os sistemas da vítima remotamente. Aparentemente, o objetivo final seria obter acesso a processos financeiros.

“A determinação dos criminosos de esconder suas atividades e tornar a detecção e a resposta a incidentes cada vez mais difícil explica a recente vertente das técnicas antiperícia do malware baseado na memória. Por isso, a perícia da memória tem se tornado essencial para a análise de malware e de suas funções”, explica Sergey Golovanov, pesquisador-chefe de segurança da Kaspersky Lab.

Ele acrescenta que nesses incidentes específicos, os invasores usaram todas as técnicas antiperícia imagináveis, demonstrando como os arquivos de malware não são necessários para a extração bem-sucedida de dados de uma rede e como o uso de utilitários legítimos e de software livre torna a atribuição praticamente impossível.

De acordo com a Kaspersky Lab, os invasores ainda estão ativos. Sendo assim, é importante lembrar que a detecção desses ataques só é possível na RAM, na rede e no Registro. E que, nesses casos, o uso das regras Yara, baseadas na verificação de arquivos maliciosos, não tem qualquer utilidade.