1. TugaTech » Internet e Redes » Noticias da Internet e Mercados
  Login     Registar    |                      

Siga-nos


malware em sistema

A ESET descobriu duas novas variantes do software malicioso SprySOCKS, uma ameaça que até agora atacava exclusivamente ambientes Linux e que migrou de forma furtiva para o ecossistema da Microsoft. Este método de intrusão secreta está a ser utilizado pelo grupo de ciberespionagem FishMonger, uma organização que os peritos acreditam ser gerida pela I-SOON, operando ao serviço do governo chinês com o foco no desvio de dados críticos.

Os dados de telemetria revelam que, embora as primeiras amostras deste código tenham surgido na plataforma VirusTotal em abril de 2024, a atividade real em equipamentos Windows ocorreu de forma intensa entre 2023 e 2024. A campanha fez vítimas em países como as Honduras, Taiwan, Tailândia e Paquistão, com um alvo principal bem definido: as organizações governamentais.

Como funciona esta camuflagem no núcleo do sistema

O verdadeiro perigo destas variantes, designadas internamente por WIN_DRV e WIN_PLUS, reside na sua capacidade avançada de invisibilidade. Para além do funcionamento habitual de uma porta traseira, o código recorre a um controlador direto no núcleo do sistema operativo (o kernel). Através desta técnica de infiltração, o SprySOCKS consegue ocultar facilmente as suas ligações de rede, esconder processos em execução e apagar o rasto nos ficheiros e nas chaves de registo.

Para os administradores de sistemas, o impacto prático é bastante severo, uma vez que as ferramentas tradicionais de proteção falham frequentemente o alerta. O malware desvia o tráfego TCP e utiliza uma porta aleatória para receber os comandos dos operadores remotos, garantindo que a sua verdadeira porta de escuta não fica exposta à monitorização da rede. O investigador Martin Smolár alerta ainda que existem indícios do envolvimento de componentes de arranque altamente furtivos (bootkits UEFI), possivelmente explorando a vulnerabilidade CVE-2023-24932 para sobreviver a reinícios da máquina.

Um histórico longo de ataques direcionados

Conhecido no mundo da cibersegurança por nomes como Earth Lusca, TAG-22, Aquatic Panda ou Red Dev 10, o FishMonger faz parte do vasto ecossistema do Winnti Group. As operações deste coletivo, que muito provavelmente atua a partir da cidade chinesa de Chengdu, têm deixado um rasto claro ao longo da última década. Os especialistas de segurança já tinham detalhado o comportamento do grupo no início de 2020, altura em que a organização visava intensivamente as universidades em Hong Kong durante a vaga de protestos cívicos.

O grupo é também reconhecido por utilizar táticas do tipo watering-hole, que consistem em comprometer páginas legítimas e serviços web frequentados pelas suas vítimas para instalar código malicioso. O seu portefólio inclui ferramentas muito conhecidas no mercado clandestino, como o ShadowPad, Cobalt Strike e o trojan de acesso remoto BIOPASS. Para as empresas portuguesas e utilizadores corporativos, este nível de sofisticação serve como um aviso prático: as armas digitais que hoje sustentam a espionagem estatal acabam rapidamente adaptadas para ataques comerciais no futuro, sublinhando a necessidade absoluta de manter não só o software de segurança, mas também o firmware dos equipamentos rigorosamente atualizado.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech