Perigoso malware pode ser ativado com apenas três cliques do mouse | TargetHD.net TargetHD.net | Notícias, Dicas e Reviews de Tecnologia
Press "Enter" to skip to content

Perigoso malware pode ser ativado com apenas três cliques do mouse

Compartilhe

Um grupo de investigadores em cibersegurança descobriram uma série de ataques de um grupo asiático conhecido como Ke3chang, utilizando um malware nunca antes visto, o Okrum.

Se suspeita que o grupo opera fora das fronteiras da China, e reporta as suas descobertas ao governo central em Beijing. Muitas das suspeitas se fundamentam em ataques anteriores a diplomáticos da Europa, Centro e América do Sul. O país mais atacado pelo grupo foi a Eslováquia, e desde 2017 outros países foram vítimas do Ke3chang, como Bélgica, Croácia, República Checa, Brasil, Chile e Guatemala.

Os ataques do Ke3chang usando o Okrum são seletivos, com alvos muito bem identificados. Por causa de sua natureza privada e ao subterfúgio, é natural pensar que se trata de uma operação de espionagem internacional.

 

 

Como funciona o malware Okrum

 

 

De acordo com uma investigação do ESET, o Okrum tem um método muito inteligente para ser ativado e, rapidamente, desaparecer. Porém, ainda não está muito claro de qual maneira ele é distribuído, mas o malware tem um sistema de segurança que detecta se ele está executando em uma máquina de sandbox ou de investigação. Dessa forma, ele se auto-elimina para evitar ser detectado e analisado.

O payload do malware só se ativa logo depois de clicar três vezes no botão esquerdo do mouse. O motivo é bem simples: saber que se trata de uma máquina funcional, e não uma pegadinha, ou algo para emular uma máquina real.

Depois de instalado, o Okrum pode entregar a si mesmo privilégios de administrador. Assim, ele pode coletar informações da máquina infectada: nome do usuário, endereço do host IP e qual versão do sistema operacional está instalado.

O malware também é capaz de realizar o download e upload de arquivos, presumivelmente para roubar os dados das máquinas diplomáticas. Inclusive está provado que o Okrum pode instalar o Mimikatz, um conhecido keylogger e ladrão de senhas.

 

 

Ke3chang não vai parar

 

A investigação do ESET afirma que o Ke3chang está atuando há mais de uma década, e os seus métodos foram se aperfeiçoando. Muito provavelmente o grupo chinês vai seguir atuando no futuro, e é bem provável que alvos diplomáticos em todo o mundo precisam reforçar as suas medidas de de segurança desde já.

 

Via ESET, ESET


Compartilhe