Pesquisadores da empresa de cibersegurança Bitdefender descobriram que hackers estão explorando ativamente softwares piratas do Microsoft Office e Adobe Photoshop CC para roubar carteiras de criptomoedas e dados do navegador das pessoas.
As informações foram descobertas após uma série de ataques que aproveitam ferramentas e cracks de softwares de edição de imagem para comprometer computadores, sequestrar carteiras de criptomoedas e vazar informações através da rede TOR.
"Uma vez executado, o crack descarta uma instância de ncat.exe (uma ferramenta legítima para enviar dados brutos pela rede), bem como um proxy TOR", disse Bogdan Botezatu da Bitdefender em uma postagem no blog.
Esses arquivos são colocados no armazenamento do sistema identificado como "% syswow64% -nap.exe" ou "% syswow64% -ndc.exe" e "% syswow64-tarsrv.exe".
Um arquivo em lote também é colocado em "% syswow64% -chknap.bat", que contém uma linha de comando para o componente Ncat dedicado a atravessar as portas 8000 e 9000 em domínios .onion, conforme mostra a imagem abaixo.
Essas ferramentas trabalham juntas para criar um backdoor poderoso que se comunica através da rede TOR com seu centro de comando e controle.
O binário ncat usa a porta de escuta do proxy TOR (–proxy 127.0.0.1: 9075) e usa o padrão "–exec" parâmetro, que permite que todas as entradas do cliente sejam enviadas ao aplicativo e as respostas sejam enviadas de volta ao cliente pelo soquete.
O crack também cria mecanismos de persistência para o arquivo proxy TOR e o binário Ncat na máquina comprometida com um serviço e uma tarefa agendada que é executada a cada 45 minutos.
De acordo com a investigação dos analistas, o backdoor provavelmente está sendo usado interativamente por um operador humano em vez de enviar solicitações automatizadas às vítimas.
Algumas das ações que foram observadas pelos pesquisadores são:
- Vazamaneto de arquivo;
- Execução do cliente BitTorrent para vazar dados;
- Desativando o firewall na preparação para vazamento de dados;
- Roubo de dados de perfil do navegador Firefox como histórico, credenciais e cookies de sessão. Antes do vazamento, os invasores arquivam a pasta de perfil com 7zip para gerar um arquivo que contém tudo;
- Roubo da carteira Monero por meio do cliente CLI legítimo "monero-wallet-cli.exe".
A lista de ações acima não é tão grande, considerando que os invasores têm controle total do sistema e podem adaptar as campanhas com base em seus interesses atuais.
De acordo com o Bitdefender, esses tipos de falhas exploradas por malwares afetam principalmente as pessoas que baixam arquivos de sites que têm pouco ou nenhum controle.
"Esses crackers geralmente são hospedados em sites de download direto, em vez de portais de torrent, já que estes últimos têm uma comunidade que faz downvotes e sinaliza uploads maliciosos", disse Botezatu.
Atualmente, a distribuição desses arquivos maliciosos é encontrada principalmente nos Estados Unidos, Índia, Canadá, Grécia, Alemanha, Itália, Espanha, África do Sul e Reino Unido.
Via: Bitdefender
