Malware furtivo mostra por que você não deve abrir e-mails desconhecidos

Um novo tipo de malware foi descoberto recentemente e conseguiu passar por 56 produtos antivírus separados antes de finalmente ser pego.

O malware, quando executado, pode causar sérios danos ao seu dispositivo – e parece ser tão bem feito que pode ser produto de atores do estado-nação. Abrir um anexo de e-mail é tudo o que é preciso para garantir a entrada suficiente para causar estragos.

A Unit 42, uma equipe de inteligência de ameaças de Palo Alto, acaba de publicar um relatório sobre um malware que conseguiu evitar a detecção de 56 produtos antivírus em massa. De acordo com a equipe, a forma como o malware foi construído, empacotado e implantado é muito semelhante a várias técnicas usadas pelo grupo de ameaças APT29, também conhecido sob os nomes de Iron Ritual e Cozy Bear. Esse grupo foi atribuído ao Serviço de Inteligência Estrangeira da Rússia (SVR), o que indica que o malware em questão pode ser um assunto de estado-nação.

De acordo com a Unidade 42, o malware foi detectado pela primeira vez em maio de 2022 e foi encontrado escondido em um tipo de arquivo bastante estranho – ISO, que é um arquivo de imagem de disco usado para transportar todo o conteúdo de um disco óptico. O arquivo vem com uma carga maliciosa que a Unit 42 acredita ter sido criada usando uma ferramenta chamada Brute Ratel (BRC4). O BRC4 se orgulha de ser difícil de detectar, citando o fato de que os autores da ferramenta fizeram engenharia reversa do software antivírus para torná-la ainda mais furtiva. O Brute Ratel é particularmente popular no APT29, acrescentando mais peso à alegação de que esse malware pode estar vinculado ao grupo Cozy Bear, com sede na Rússia.

O arquivo ISO finge ser o curriculum vitae (currículo) de alguém chamado Roshan Bandara. Ao chegar na caixa de correio de e-mail do destinatário, ele não faz nada, mas quando clicado, monta como uma unidade do Windows e exibe um arquivo chamado “Roshan-Bandara_CV_Dialog”. Nesse ponto, é fácil ser enganado – o arquivo parece ser um arquivo típico do Microsoft Word, mas se você clicar nele, ele executa cmd.exe e prossegue com a instalação do BRC4.

Quando isso for feito, muitas coisas podem acontecer ao seu PC – tudo depende das intenções do invasor.

A Unidade 42 observa que encontrar esse malware é preocupante por vários motivos. Por um lado, há uma alta probabilidade de que esteja vinculado ao APT29. Além dos motivos listados acima, o arquivo ISO foi criado no mesmo dia em que uma nova versão do BRC4 foi divulgada. Isso sugere que os atores de ataques cibernéticos apoiados pelo Estado podem estar cronometrando seus ataques para implantá-los nos momentos mais oportunos. O APT29 também usou ISOs maliciosos no passado, então tudo parece se encaixar.

A quase indetectabilidade é preocupante por si só. Para que um malware seja tão furtivo, é preciso muito trabalho, e isso sugere que esses ataques podem representar uma ameaça real quando usados ​​pela equipe errada.

Como você pode ficar seguro?

Em meio a relatos frequentes de que os ataques cibernéticos aumentaram maciçamente nos últimos anos, pode-se esperar que muitos usuários agora estejam mais conscientes dos perigos de confiar demais em pessoas aleatórias e em seus arquivos. No entanto, às vezes esses ataques vêm de fontes inesperadas e de várias formas. Enormes ataques distribuídos de negação de serviço (DDoS) acontecem o tempo todo, mas são mais um problema para usuários corporativos. Às vezes, o software que conhecemos e confiamos pode ser usado como um chamariz para nos enganar e confiar no download. Como ficar seguro quando o perigo parece estar à espreita em cada esquina?

Em primeiro lugar, é importante perceber que muitos desses ataques cibernéticos em grande escala são feitos para atingir organizações – é improvável que indivíduos sejam alvos. No entanto, neste caso específico em que o malware está oculto em um arquivo ISO que se apresenta como um currículo, ele pode ser aberto por pessoas em várias configurações de RH, incluindo aquelas em organizações menores. Empresas maiores geralmente têm departamentos de TI mais robustos que não permitiriam a abertura de um arquivo ISO inesperado — mas você nunca sabe quando algo pode escapar.

Com o que foi dito acima em mente, nunca é uma má ideia seguir uma regra muito simples que muitos de nós ainda esquecemos às vezes – nunca abra anexos de destinatários desconhecidos. Isso pode ser difícil para um departamento de RH que está coletando currículos ativamente, mas você, como indivíduo, pode implementar essa regra em sua vida diária e não perder nada. Também não é uma má ideia escolher uma das melhores opções de software antivírus disponíveis. No entanto, a maior segurança pode ser obtida simplesmente navegando com atenção e não visitando sites que podem não parecer muito legítimos, além de ser cauteloso com seus e-mails.