O grupo de cibercriminosos conhecido como Sandworm, suspeito de ter ligações diretas com o governo russo, adotou uma estratégia inovadora para infiltrar-se em sistemas na Ucrânia.
Esta nova abordagem explora a proliferação de versões não licenciadas do Windows no território ucraniano para engajar vítimas em potencial.
A estratégia foi identificada por analistas da EclecticIQ, que observaram um aumento significativo na utilização de versões pirateadas do sistema operacional da Microsoft na Ucrânia, inclusive em departamentos governamentais.
Utilizando essa vulnerabilidade, os hackers encontraram um novo meio para tentar acessar o maior número de PCs possível.
O instrumento de invasão utilizado é o Dark Crystal RAT, um avançado software de espionagem capaz de coletar informações sensíveis, cookies de navegação, capturas de tela e registros de digitação do usuário.
O novo vetor de ataque contra computadores ucranianos se inicia com um programa falso que promete contornar a necessidade de licenças para softwares da Microsoft, incluindo o pacote Office.
O arquivo, nomeado KMSAuto++x64_v1.8.4.zip, é disponibilizado com uma senha fornecida pelos próprios hackers no momento do download e pode ser encontrado até mesmo em redes torrent.
Disfarçado como um "crack" para ativar programas legítimos sem a necessidade de assinatura ou licença, o falso ativador apresenta uma interface que imita as opções de ativação reais.
No entanto, nesse estágio, um loader chamado BACKORDER já está funcionando em segundo plano.
Essa ferramenta é responsável por instalar o Dark Crystal RAT, contornando inclusive os mecanismos de detecção do Windows Defender.
Uma vez ativo, o malware estabelece uma conexão direta com um servidor controlado pelos hackers, enviando a ele as informações coletadas.
Entre os dados vulneráveis estão capturas de tela, registros de teclas digitadas, cookies, histórico de navegação, credenciais de acesso, dados de cartões e informações sobre o sistema, incluindo programas instalados e a presença em redes internas.
O simples fato de abrir o falso ativador indica que a invasão ao sistema já está em curso.
Graças a um método de execução persistente e programado, o malware consegue permanecer ativo, não necessitando de uma nova ativação, mesmo após o reinício do computador.
Evidências encontradas no código de depuração e outras marcas no software aumentam as suspeitas de que sua origem seja realmente russa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...