Ameaça, já corrigida, explorava vulnerabilidade (dia zero) desconhecida no sistema operacional Microsoft Windows
A tecnologia de Prevenção Automática contra Exploits da Kaspersky Lab detectou uma série de ataques cibernéticos direcionados que explora uma vulnerabilidade (dia zero) desconhecida no sistema operacional Microsoft Windows. Ela é usada por cibercriminosos para obter acesso persistente aos sistemas localizados no Oriente Médio. A vulnerabilidade foi corrigida pela Microsoft em 9 de outubro.
Os ataques que exploram vulnerabilidades de “dia zero” são uma das formas mais perigosas de ameaça cibernética, pois, por ser desconhecida, não existem detecção ou correção. Quando descoberta por um criminoso, a vulnerabilidade de “dia zero” é usado em um exploit para garantir acesso a todo o sistema da vítima. Esse cenário é amplamente usado por grupos especializados em ataques de APTs.
O novo exploit do Microsoft Windows faz a infecção por meio de um backdoor baseado no PowerShell. Em seguida, ele obtém os privilégios necessários para se manter nos sistemas da vítima. O código do malware é de alta qualidade e foi escrito de maneira a permitir a exploração da falha de forma confiável em diferentes versões (builds) do Windows.
Os ataques cibernéticos atingiram cerca de uma dezena de organizações no Oriente Médio no fim do terceiro trimestre. Suspeita-se que o agente responsável pelo ataque estaria relacionado ao grupo FruityArmor, pois eles foram os únicos a usar um backdoor baseado em PowerShell no passado. Imediatamente após a descoberta, os especialistas da Kaspersky Lab reportaram à Microsoft sobre a vulnerabilidade.
Mesmo desconhecido, os produtos da Kaspersky Lab foram capazes de detectar este exploit proativamente por meio das tecnologias de detecção comportamental, pelos componentes de Prevenção Automática contra Exploits contidos nos produtos de segurança da empresa e pelas ferramentas de Sandbox Avançada e de antimalware da Kaspersky Anti Targeted Attack Platform.
“Quando se trata de vulnerabilidades, é fundamental monitorar ativamente o surgimento de novos exploits. Na Kaspersky Lab, a pesquisa contínua de inteligência de ameaças tem como objetivo não apenas localizar novos ataques e estabelecer os alvos dos cibercriminosos, mas também entender como as tecnologias mal-intencionadas são utilizadas. Como resultado da nossa pesquisa, temos uma camada de detecção que permite evitar ataques, como os que utilizavam esta vulnerabilidade”, explica Anton Ivanov, especialista em segurança da Kaspersky Lab.
Para evitar exploits de “dia zero”, a Kaspersky Lab recomenda implementar as seguintes medidas técnicas:
– Evite usar softwares conhecidos por sua vulnerabilidade ou que foram usados recentemente em ataques cibernéticos.
– Certifique se o software usado em sua empresa é atualizado regularmente para as versões mais recentes. Os produtos de segurança com funcionalidades de Avaliação de Vulnerabilidades e Gerenciamento de Correções ajudam a automatizar esses processos.
– Use uma solução de segurança de ponta
