Driver vulnerável da Dell é arma de criminosos em campanha de espionagem
Membro de grupo norte-coreano se passa por recrutador da Amazon para entregar documento malicioso, que instala driver da Dell com brecha de segurança
Um driver legítimo da fabricante de computadores Dell está sendo usado em uma campanha de espionagem direcionada, operada por cibercriminosos do Lazarus, bando a serviço do governo da Coreia do Norte. No golpe, eles se passam por recrutador da Amazon e oferecem vagas de emprego, que acompanham um documento malicioso que contém o software que abre as portas para o roubo de dados confidenciais.
- Ataques virtuais | Maior parte tem motivação econômica, e espionagem cresce
- Os 5 métodos de ataque cibernético em que você precisa ficar de olho
De acordo com a empresa de segurança ESET, que emitiu alerta sobre a exploração, o golpe desenhado pelo grupo Lazarus vem sendo registrado desde o segundo semestre de 2021, com alvos predominantemente na Europa. Uma empresa aeroespacial nos Países Baixos e um jornalista político da Bélgica estão entre os alvos do ataque, focado na obtenção de informação privilegiada.
A exploração do Lazarus acontece a partir de códigos ocultos nos documentos perigosos, que entregam malwares e backdoors. O principal elemento, entretanto, é um driver legítimo da Dell, que contém uma brecha de segurança rastreada como CVE-2021-21551. Por meio dela, os criminosos são capazes de desabilitar diferentes processos do Windows a partir do kernel do sistema operacional, escapando da detecção de softwares de segurança e até de análises de especialistas para estabelecer permanência e realizar as ações criminosas.
A técnica é chamada de "Bring Your Own Vulnerabile Driver", ou "Traga seu próprio driver vulnerável", em inglês e em referência à dinâmica BYOD, em que colaboradores podem levar seus próprios aparelhos para trabalhar em uma empresa. De acordo com o relatório da ESET, se trata da primeira vez que a brecha no driver é explorada em ataques, enquanto a mecânica, em si, já é conhecida, ainda que tenha poucos incidentes registrados até agora.
O golpe se apoia na ideia de que tais drivers, desenvolvidos de forma legítima e assinados pelo Windows, terão passagem livre mesmo em sistemas protegidos. Mesmo PCs não-fabricados pela Dell estariam suscetíveis, enquanto a brecha, em si, permaneceu aberta por mais de 10 anos até ser descoberta e corrigida pela Dell em 2021 — a versão usada pelo Lazarus, claro, não contém esta atualização.
A principal ameaça entregue pelo Lazarus a partir dessa exploração é o Blindingcan, ferramenta que também já apareceu em ataques semelhantes, usando falsas vagas de emprego para entregar instaladores manipulados de software livre. Uma vez contaminado, o computador fica apto a receber comandos a partir de um servidor de controle, que também pode realizar a instalação de outros vírus para extração de dados e monitoramento do que acontece na máquina.
O cuidado com a engenharia social, entretanto, costuma ser o caminho para a segurança. A recomendação é que as empresas potencialmente visadas orientem seus funcionários quanto à incidência de ataques e o perigo de baixar softwares que cheguem por e-mail ou sejam indicados por desconhecidos, além de procurar sobre vagas de emprego oferecidas em sites oficiais e serviços legítimos, não cedendo a contatos feitos em redes sociais.
Fonte: ESET
Trending no Canaltech:
- As 10 cenas de game over mais brutais dos games
- Confira cursos gratuitos e bolsa integral para jovens na área de programação
- Grande explosão solar causa blecaute de rádio em todo o território dos EUA
- Trend bizarra do TikTok obriga Kindle mudar política de reembolso
- Exercício simples acelera o metabolismo e queima gordura enquanto você trabalha