Conhecido como 'Astaroth', programa rouba senhas capturadas em sistemas contaminados. Criminosos registram canais no YouTube e inserem códigos nas descrições para dar comandos ao ladrão de senhas Astaroth. Reprodução Especialistas em segurança identificaram uma nova versão do Astaroth, um programa malicioso que rouba informações dos computadores. A praga digital chamou a atenção por usar uma rede de canais do YouTube para receber "comandos" dos criminosos e ser propagada por e-mails com o tema do coronavírus e da Covid-19. O Astaroth rouba senhas digitadas nos sistemas contaminados. Ele não é uma praga digital nova, mas vem recebendo diversos aprimoramentos dos seus criadores. A análise mais recente do código foi publicada pelo Talos, uma equipe de especialistas em segurança digital da Cisco, nesta segunda-feira (11). Os analistas observaram que a praga digital possui uma série de mecanismos para evitar o estudo do seu funcionamento. O código interrompe sua própria execução caso detecte um ambiente virtual ou a presença de ferramentas de monitoramento que poderiam rastrear as operações realizadas pelo programa. Coronavírus e canais falsos no YouTube De acordo com a análise do Talos, o Astaroth vem atacando usuários no Brasil há pelo menos nove meses, embora seja possível que a atividade tenha começado até um ano atrás. O software é propagado por e-mails enviados em massa, que recentemente passaram a utilizar o tema do coronavírus e da Covid-19. O tema de boletos em atraso também é muito comum. Uma das mensagens, por exemplo, promete um "portfólio" de recomendações para se proteger do coronavírus. A mensagem pode ter erros de português, mas essa não é uma característica obrigatória. E-mail falso que propaga a praga digital Astaroth usando o tema do novo coronavírus e a Covid-19. Reprodução/Cisco Talos Os e-mails sempre incluem um link para um arquivo – normalmente um arquivo ".ZIP". Dentro do arquivo compactado, os criminosos colocam um arquivo ".lnk", que é um atalho do Windows – ou seja, um arquivo muito pequeno. Esse "atalho" executa um comando que realiza o download do próximo estágio da contaminação. Depois que o Astaroth se estabelece no sistema, ele "visita" uma série de canais no YouTube. O usuário não verá nenhum sinal de que esse acesso aconteceu, mas as descrições dos canais – que parecem ser apenas um código sem sentido – são interpretadas como comandos para que o ladrão de senhas saiba o que deve fazer em seguida. A estratégia de usar perfis em redes sociais para abrigar comandos de pragas digitais não é nova. Ela dificulta a ação de especialistas que tentam derrubar a infraestrutura dessas pragas digitais, já que os perfis, por si só, são normalmente inofensivos. O blog procurou o Google para perguntar qual seria a postura da empresa em relação aos canais identificados pelo Telos. Até a publicação deste texto, o Google ainda não havia se pronunciado e os canais estavam on-line. E-mails com cobranças falsas também são usados na propagação do Astaroth. Reprodução/Cisco Talos Sofisticação técnica O Astaroth tem diversas características técnicas avançadas. Além de tentar "fugir" da atenção de analistas e de sistemas de detecção automática, o código também foi programado de tal maneira a evitar que usuários suspeitem da presença de um programa nocivo. Praticamente todas operações do programa são realizadas a partir de programas legítimos do Windows – mas nenhum arquivo do Windows é modificado. Os criadores do ladrão de senhas utilizam técnicas para injetar o código diretamente na memória de outros programas, ou então se aproveitam de utilitários que foram projetados para executar comandos especificados por outros programas. Para o Talos da Cisco, o Astaroth é um "exemplo do nível de sofisticação técnica que está sendo alcançada por crimeware". O termo "crimeware", usado pelos especialistas, se refere aos programas maliciosos usados por criminosos – como é o caso do Astaroth – e que normalmente não possuem a mesma sofisticação dos softwares de espionagem patrocinados por governos. Ucrânia diz ter impedido ataque do vírus VPNFilter em estação de tratamento de água Hackers de grupo ligado à Coreia do Norte atacaram bancos na América Latina Cada versão do Astaroth é identificada por um número e um nome, que normalmente faz alusão a um demônio. De acordo com os analistas, esta versão é identificada pelo número "157" e pelo codinome "Gomory", associado a um demônio chamado "Gremory". Essas informações estão dentro do próprio código da praga digital. O nome "Astaroth", que é usado para identificar todas as versões dessa praga, também se refere um demônio. Veja vídeo sobre links falsos com supostas informações sobre a pandemia: Covid-19: milhões de brasileiros clicaram em links falsos desde o início da pandemia Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com
