Um grupo de hackers desconhecido, suspeito de originar da China, lançou um ataque maciço globalmente usando uma versão Trojanized do serviço Narrator com o malware PcShare. Isso é particularmente perigoso, pois a campanha em andamento visa empresas de tecnologia e redes corporativas. Ele funciona substituindo o serviço legítimo do Windows que faz parte do pacote de acessibilidade.
Serviço do Windows Narrator infectado com o cavalo de Troia PcShare lançado globalmente
Um relatório de segurança indica que um grupo de hackers desconhecido, presumivelmente da China, está lançando um malware perigoso chamado Trojan PcShare, que é definido para infectar redes em todo o mundo. De acordo com os pesquisadores que descobriram a ameaça, o malware faz uso da tática incomum de substituir o serviço legítimo do sistema operacional Windows denominado Narrador que é o aplicativo de leitura de tela principal.
O mecanismo exato de intrusão do Trojan PcShare é infectar os hosts pretendidos e, em seguida, substituir o serviço Narrator legítimo por uma versão maliciosa. A distribuição exata do Trojan é feita principalmente via enviar e-mail campanhas de phishing - as vítimas pretendidas receberão mensagens que são projetadas para imitar as regulares que são enviadas a eles por meio de empresas ou serviços conhecidos. A alternativa é falsificar suas home pages, páginas de destino ou prompts de login e hospedá-los em nomes de domínio com sons semelhantes. Eles também podem incluir certificados de segurança que podem ser falsificados, roubado ou autoassinado para fazer os visitantes acreditarem que estão visitando um site seguro.
Curiosamente, o carregador de cavalo de Troia PcShare é fornecido por uma DLL NVIDIA legítima carregada lateralmente, que faz parte do driver da placa de vídeo para o sistema operacional Windows. Seu objetivo é descriptografar e iniciar a carga maliciosa, que é o segundo estágio do Trojan. Como isso é feito por meio de um injeção de memória - o arquivo binário real nunca é descartado no disco rígido da vítima. Isso é feito em paralelo com um técnica anti-sandboxing que é projetado para ignorar ou remover totalmente os produtos e serviços de segurança instalados. Isso é feito principalmente contra aplicativos como programas antivírus, ambientes sandbox, firewalls, Os sistemas de detecção de intrusão e etc..
Recursos do cavalo de Tróia do PcShare
Assim que o Trojan é iniciado no sistema da vítima, ele leva a vários módulos de malware que devem ser executados. A maioria deles é baseada em malware de código aberto que foi modificado na campanha de ataque. O Trojan principal estabelecerá uma conexão segura com um servidor controlado por hacker, permitindo que os criminosos assumam o controle das máquinas afetadas. Isso também permite que eles roubem dados e informações valiosas, bem como instalar outras ameaças também.
Quando o serviço Narrator legítimo é substituído por um malicioso, ele obterá privilégios administrativos, permitindo-lhe obter acesso a todas as seções importantes do sistema. O Trojan PcShare e os módulos maliciosos implantados incluem a instalação de um keylogger que monitorará ativamente a entrada do teclado do usuário para quaisquer credenciais potenciais, como senhas. Se tais cadeias forem detectadas, serão encaminhadas aos criminosos.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: