OverClock
Sexta, 27 de Janeiro de 2023

Malware para Windows se disfarça de Cortana para infectar PCs Sexta, 27 de Janeiro de 2023

Malware para Windows se disfarça de Cortana para infectar PCs

Um vírus de acesso remoto tenta se disfarçar como a assistente de voz Cortana para roubar dados e se comunicar com os criminosos. A praga, batizada de PY#RATION, usa métodos conhecidos de contaminação a partir de e-mails de phishing, com seus executáveis escondidos em arquivos de atalho do Windows para evitar detecção por softwares antivírus e realizar a contaminação do PC.

A campanha cibercriminosa em andamento desde agosto do ano passado usa diferentes variações do malware, todas com o mesmo objetivo: estabelecer permanência no computador e obter dados digitados pelo usuário, transferir arquivos, roubar informações e cookies salvos em navegadores e também o conteúdo da área de transferência. Tudo é enviado para servidores sob o controle dos bandidos, que podem usar as informações em comprometimentos a contas ou fraudes de identidade.

Chamou a atenção dos especialistas da Securonix, porém, o fato de o PY#RATION disfarçar seu processo como se fosse Cortana, a assistente de voz do Windows. O mesmo também vale para pastas, arquivos temporários e executáveis que possibilitam seu funcionamento, aumentando a furtividade mesmo diante de um monitoramento humano do que está sendo executado no computador.

-
CT no Flipboard: você já pode assinar gratuitamente as revistas Canaltech no Flipboard do iOS e Android e acompanhar todas as notícias em seu agregador de notícias favorito.
-

Ao abrir os arquivos maliciosos, usuário vê a carteira de motorista de uma mulher desconhecida, enquanto a contaminação pelo malware acontece sem que ele perceba (Imagem: Reprodução/Securonix)

A mensagem fraudulenta, como sempre, vem em nome de um suposto cliente, que apresenta documentação necessária para uma proposta de negócios. Ao baixar o arquivo em formato ZIP e clicar nos atalhos, o usuário vê a carteira de motorista de uma mulher desconhecida, enquanto nos bastidores, acontece a comunicação com servidores de controle, o download e instalação do malware programado em Python.

Os especialistas apontam, ainda, o uso de um framework da própria linguagem de programação que permite a comunicação a partir de websockets, utilizado tanto para contato com os servidores quanto envio de dados. Isso permite que a praga oculte ainda mais sua atuação, se aproveitando de portas já abertas na conexão e evitando a detecção por firewalls e ferramentas de monitoramento de redes.

A Securonix não indicou campanhas específicas, alvos diretos ou os responsáveis por trás de uma campanha que, apontou, parecia estar agindo sem detecção até agora, com apenas um de todos os antivírus disponíveis na plataforma VirusTotal sendo capaz de notar a presença do PY#RATION. Indicadores de comprometimento e endereços usados nos ataques foram publicados pela companhia de cibersegurança, para auxiliar em tarefas de controle e mitigação.

Leia a matéria no Canaltech.

Trending no Canaltech:


Compartilhe: https://tinyurl.com/2zanbhta