ESET identifica backdoor usada pelos atacantes do malware Petya

Próximo artigo

Os investigadores da ESET, empresa especializada em soluções de segurança informática, já tinham localizaram o ponto a partir do qual a nova “epidemia” mundial de ransomware originou: uma empresa de software de contabilidade ucraniana chamada M.E.Doc. Agora a ESET descobriu mais informações acerca de como esse processo ocorreu.

Durante nova investigação, foi identificada uma backdoor furtiva e inteligente que foi injetada pelos atacantes num dos módulos legítimos do software M.E.Doc. A ESET sugere que parece muito improvável que os atacantes tenham conseguido fazer isto sem terem acesso ao código fonte daquele software. Na prática, isto significa que eles tiveram tempo para aprender o código e incorporar uma backdoor extremamente eficiente e que facilitou a difusão do malware à escala mundial.

O módulo comprometido tinha o nome de ficheiro ZvitPublishedObjects.dll e foi escrito utilizando o .NET Framework. É um ficheiro de 5MB que continha muitas linhas de código legítimo que podiam ser chamadas por outros componentes, incluindo o executável EZVIT.exe do M.E.Doc.

Existem ainda perguntas sem resposta, como há quanto tempo a backdoor está a ser utilizada pelos atacantes, ou que outras ameaças além das já identificadas foram empurradas pelos atacantes através do M.E.Doc. A ESET continuará a atualizar toda a informação e a oferecer meios de prevenção e proteção contra esta vulnerabilidade.

É possível verificar se o seu computador se encontra protegido contra este ataque através de uma ferramenta gratuita fornecida pela ESET aqui: support.eset.com/kb6481/

O que é o ransomware NotPetya?

O novo ataque de ransomware à escala internacional começou no dia 27 de junho, terça-feira, e está aparentemente relacionado com a família “Petya”, que é atualmente detetada pela ESET como Win32/Diskcoder.C Trojan, a qual é tecnicamente baseado no mesmo tipo de vulnerabilidade do recente ataque de ransomware popularmente conhecido por WannaCry. Este ransomware surge por vezes também identificado como “NotPetya” – porque, apesar de estar relacionado com a família de malware com o mesmo nome, é diferente.

Ao contrário do recente WannCry, o malware Petya não se limita a encriptar os ficheiros do utilizador: ataca o chamado “Master Boot Record” – uma parte essencial do sistema que contém informações acerca das partições do disco rígido e que é essencial para que o sistema operativo seja carregado. Se o malware conseguir infetar com sucesso a MBR, encripta todo o disco; caso contrário, encripta todos os ficheiros.

Para se espalhar, este malware parece utilizar uma combinação de um “exploit” SMB (EternalBlue), o mesmo que foi utilizado pelo WannaCry, para se conseguir infiltrar na rede à qual o computador está ligado, e recorre posteriormente ao PsExec para se espalhar. Esta combinação perigosa pode ser o motivo pelo qual esta ameaça se está a disseminar a nível global e tão rapidamente, mesmo depois dos outros ataques terem merecido uma cobertura mediática tão grande e de muitas vulnerabilidades terem sido corrigidas.

Importa salientar que apenas é necessário que haja um computador sem proteção numa determinada rede para que esta ameaça consiga penetrar em toda a infraestrutura. Posteriormente, o malware pode obter privilégios de administração e espalhar-se a outros computadores.