Grupo hacker usa logotipo antigo do Windows para esconder malware

Os membros do Witchetty ocultaram um cavalo de troia dentro de um antigo logotipo do Windows. Como? Por meio de esteganografia.

A ideia é sofisticada, mas não desconhecida. A esteganografia é uma técnica que esconde informações dentro de uma imagem, vídeo ou outro tipo de arquivo. Frequentemente, essa “arte” é usada para dificultar o rastreamento da mensagem a ser enviada.

É o caso aqui. A Symantec relata que o Witchetty inseriu um cavalo de troia (backdoor) em uma imagem bitmap do logotipo que a Microsoft usava no Windows 7. O malware foi ocultado ali por meio de um algoritmo de criptografia XOR, que segue princípios específicos da lógica booleana.

Imagens não costumam levantar suspeitas em sistemas de segurança, a não ser que elas sejam malwares renomeados para formatos do tipo. É por isso que o truque da esteganografia pode funcionar. Há um código malicioso escondido ali, mas a imagem não deixa de ser verdadeira.

Começa com vulnerabilidades

No entanto, o ataque não começa com a imagem em si. Na verdade, os hackers exploram pelo menos dois conjuntos de falhas conhecidas no Microsoft Exchange — ProxyLogon e ProxyShell — para invadir servidores vulneráveis.

A ação é executada por dois backdoors: o X4 no primeiro estágio; o Looback no segundo. Este último tem um carregador de DLL que se encarrega de baixar a imagem de um repositório no GitHub, que é um hospedeiro confiável.

Pode haver outras fontes tão ou mais confiáveis. Isso porque, como o malware está oculto em um bitmap real, esses serviços não conseguem detectá-lo, pelo menos não facilmente.

Anúncio

Depois de o arquivo ser baixado, a extração do Backdoor.Stegmap, como o malware é chamado, ocorre a partir de uma decodificação feita com uma chave XOR. Na sequência, a ameaça pode executar uma série de ações. Copiar ou apagar arquivos, iniciar processos e baixar outras cargas maliciosas estão entre elas.

Depois vem a espionagem

Os procedimentos a serem executados dependem do alvo e do objetivo. De acordo com a Symantec, o Witchetty (também conhecido como LookingFrog) realiza espionagem. Neste ano, o grupo teria executado ações contra governos de dois países do Oriente Médio e uma bolsa de valores na África, só para dar exemplos recentes.

Existe a suspeita de que o Witchetty tenha ligação com o grupo hacker APT10 que, por sua vez, teria ligações com o governo chinês.

Detectar uma carga maliciosa escondida via esteganografia é difícil, mas a ação maliciosa pode ser bloqueada por meio de sistemas de verificação de intrusos, por exemplo.

Mas a prevenção continua sendo o melhor remédio. Medidas simples podem ser suficientes, como instalar atualizações de software. Para se ter ideia, as mencionadas vulnerabilidades no Exchange foram corrigidas no ano passado pela Microsoft.

Fonte: IG TECNOLOGIA