BannerAseguir3

Praga digital ataca brasileiros com mensagens sobre o coronavírus e comandos escondidos em canais do YouTube

Conhecido como 'Astaroth', programa rouba senhas capturadas em sistemas contaminados. Criminosos registram canais no YouTube e inserem códigos nas descrições para dar [...]

Por Pedro em 13/05/2020 às 09:01:15
Conhecido como 'Astaroth', programa rouba senhas capturadas em sistemas contaminados. Criminosos registram canais no YouTube e inserem códigos nas descrições para dar comandos ao ladrão de senhas Astaroth.

Reprodução

Especialistas em segurança identificaram uma nova versão do Astaroth, um programa malicioso que rouba informações dos computadores. A praga digital chamou a atenção por usar uma rede de canais do YouTube para receber "comandos" dos criminosos e ser propagada por e-mails com o tema do coronavírus e da Covid-19.

O Astaroth rouba senhas digitadas nos sistemas contaminados. Ele não é uma praga digital nova, mas vem recebendo diversos aprimoramentos dos seus criadores.

A análise mais recente do código foi publicada pelo Talos, uma equipe de especialistas em segurança digital da Cisco, nesta segunda-feira (11).

Os analistas observaram que a praga digital possui uma série de mecanismos para evitar o estudo do seu funcionamento. O código interrompe sua própria execução caso detecte um ambiente virtual ou a presença de ferramentas de monitoramento que poderiam rastrear as operações realizadas pelo programa.

Coronavírus e canais falsos no YouTube

De acordo com a análise do Talos, o Astaroth vem atacando usuários no Brasil há pelo menos nove meses, embora seja possível que a atividade tenha começado até um ano atrás.

O software é propagado por e-mails enviados em massa, que recentemente passaram a utilizar o tema do coronavírus e da Covid-19. O tema de boletos em atraso também é muito comum.

Uma das mensagens, por exemplo, promete um "portfólio" de recomendações para se proteger do coronavírus. A mensagem pode ter erros de português, mas essa não é uma característica obrigatória.

E-mail falso que propaga a praga digital Astaroth usando o tema do novo coronavírus e a Covid-19.

Reprodução/Cisco Talos

Os e-mails sempre incluem um link para um arquivo – normalmente um arquivo ".ZIP". Dentro do arquivo compactado, os criminosos colocam um arquivo ".lnk", que é um atalho do Windows – ou seja, um arquivo muito pequeno. Esse "atalho" executa um comando que realiza o download do próximo estágio da contaminação.

Depois que o Astaroth se estabelece no sistema, ele "visita" uma série de canais no YouTube. O usuário não verá nenhum sinal de que esse acesso aconteceu, mas as descrições dos canais – que parecem ser apenas um código sem sentido – são interpretadas como comandos para que o ladrão de senhas saiba o que deve fazer em seguida.

A estratégia de usar perfis em redes sociais para abrigar comandos de pragas digitais não é nova. Ela dificulta a ação de especialistas que tentam derrubar a infraestrutura dessas pragas digitais, já que os perfis, por si só, são normalmente inofensivos.

O blog procurou o Google para perguntar qual seria a postura da empresa em relação aos canais identificados pelo Telos. Até a publicação deste texto, o Google ainda não havia se pronunciado e os canais estavam on-line.

E-mails com cobranças falsas também são usados na propagação do Astaroth.

Reprodução/Cisco Talos

Sofisticação técnica

O Astaroth tem diversas características técnicas avançadas. Além de tentar "fugir" da atenção de analistas e de sistemas de detecção automática, o código também foi programado de tal maneira a evitar que usuários suspeitem da presença de um programa nocivo.

Praticamente todas operações do programa são realizadas a partir de programas legítimos do Windows – mas nenhum arquivo do Windows é modificado. Os criadores do ladrão de senhas utilizam técnicas para injetar o código diretamente na memória de outros programas, ou então se aproveitam de utilitários que foram projetados para executar comandos especificados por outros programas.

Para o Talos da Cisco, o Astaroth é um "exemplo do nível de sofisticação técnica que está sendo alcançada por crimeware". O termo "crimeware", usado pelos especialistas, se refere aos programas maliciosos usados por criminosos – como é o caso do Astaroth – e que normalmente não possuem a mesma sofisticação dos softwares de espionagem patrocinados por governos.

Ucrânia diz ter impedido ataque do vírus VPNFilter em estação de tratamento de água

Hackers de grupo ligado à Coreia do Norte atacaram bancos na América Latina

Cada versão do Astaroth é identificada por um número e um nome, que normalmente faz alusão a um demônio. De acordo com os analistas, esta versão é identificada pelo número "157" e pelo codinome "Gomory", associado a um demônio chamado "Gremory". Essas informações estão dentro do próprio código da praga digital.

O nome "Astaroth", que é usado para identificar todas as versões dessa praga, também se refere um demônio.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Fonte: G1

ZPTRAN AutoEscola

Comentários

META