Comercial (11) 2577-7899

Um novo malware foi identificado pela empresa de segurança TrendMicro, o qual tem como alvo o roubo de informações pessoais, até o momento, de usuários interessados em política em geral. Batizado de “Slub”, o malware usa canais de alta probabilidade de acesso ao usuário, notadamente sendo empregado via Slack, GitHub e um site de compartilhamento de arquivos (file.io) para ser executado.

Entrando na parte técnica do malware, ele funciona ao direcionar o usuário que acessa qualquer uma destas plataformas a uma página maliciosa, a qual tira proveito do código CVE-2018-8174, uma falha de execução remota da engine VBScript que pode ser executada por meio do Internet Explorer. Tal falha teve um patch de correção lançado em maio de 2018 pela Microsoft, porém há máquinas que estão rodando seus sistemas operacionais sem essa atualização.

Uma vez que a máquina é infectada, o Slub vai baixar uma série de outros pacotes contendo versões menores do malware, verificando a presença de antivírus e softwares de proteção e segurança. Se identificados, o malware simplesmente “sai” — o que deve ter contribuído para ele só ter sido descoberto agora, segundo a TrendMicro.

Se uma máquina é totalmente comprometida pelo malware, porém, o Slub usará um canal privado no Slack para registrar dados do usuário infectado. Os mesmos dados também serão salvos em arquivos e seu upload, feito no site de compartilhamento file.io, mencionado acima. Mais além, o malware também busca dados offline armazenados pelo Skype, além de monitorar hábitos de usuário em plataformas como Twitter, KaokaoTalk e BBS. Finalmente, ele copia todos os arquivos “.hwp”, uma extensão para um app de processamento de palavras coreanas.

A TrendMicro informa que alertou às plataformas mencionadas: os donos do site de compartilhamento trabalharam com as autoridades canadenses, onde o site é hospedado, para fechar o exploit de redirecionamento do site. O Slack informa que deletou o workspace privado e os arquivos relacionados, utilizados pelo malware e, finalmente, o GitHub removeu os arquivos relacionados de sua plataforma.

“Os invasores parecem ser profissionais, baseado na forma como eles executam este ataque. Eles usam somente serviços terceirizados, o que elimina a necessidade de eles registrarem qualquer tipo de domínio, evitando que deixem uma trilha digital a ser seguida”, explica a TrendMicro.

Fonte: ZDNet

https://canaltech.com.br/seguranca/novo-malware-rouba-dados-por-meio-do-slack-e-github-134457/

 

Compartilhar está publicação