Hackers do CCLeaner ganharam acesso pelo TeamViewer

Os hackers que infectaram 2,27 milhões de máquinas

30/04/2018 mindsecblog Notícias 0

Hackers do CCLeaner ganharam acesso pelo TeamViewer. Os hackers que infectaram 2,27 milhões de máquinas no ano passado usando uma versão modificada do aplicativo de manutenção de computadores CCleaner conseguiram realizar o ataque da cadeia de suprimentos obtendo acesso não autorizado à rede do desenvolvedor usando o programa de acesso a desktop remoto TeamViewer.

Ondrej Vlcek, EVP e GM da unidade de negócios de consumo da Avast Software , empresa que adquiriu o desenvolvedor do CClean Piriform em julho de 2017, divulgou as últimas descobertas da investigação de ataque em um post lançado na semana passada em conjunto com uma apresentação liderada pela RSA 2018 em São Francisco.

Em setembro o Blog Minuto da Segurança noticiou que o Target do CCleaner são as Empresas de Tecnologia. A avaliação foi feita por um membro de segurança da Cisco, Talos, avaliando o malware que foi distribuído na versão infectada do CCleaner, que concluiu que o objetivo era criar ataques secundários que tentassem penetrar nas principais empresas de tecnologia. Segundo notícia, publicada no The Register, o malware que infectou o CCleaner reúne informações sobre seu host e o envia para um chamado de “servidor C2”. Quem está por trás do malware revisa os hosts que seu código comprometeu. Em seguida, tenta infectar alguns desses hosts com um “payload secundário especializado”. Em exame do código no servidor C2 foi encontrado uma lista empresas como: Cisco, Microsoft, Sony, Intel, VMware, Samsung, D-Link, Epson, MSI, Linksys, Singtel e os dvrdns. .org domínio, que resolve a dyn.com.

A intrusão inicial, possivelmente o trabalho manual do grupo chinês APT Axiom (aka APT 17 ou Grupo 72), precedeu a aquisição do CCleaner pela Avast em aproximadamente quatro meses. Em seu post, Vlcek afirma que os agentes de ameaças acessaram pela primeira vez a rede da Piriform na madrugada de 11 de março de 2017, fazendo o login através do software TeamViewer que havia sido instalado na estação de trabalho de um desenvolvedor. “Eles obtiveram acesso com êxito com um único login, o que significa que eles conheciam as credenciais de login“, escreve Vlcek, teorizando que as mesmas credenciais podem ter sido usadas para vários outros aplicativos e em algum momento poderiam ter vazado.

De acordo com Vlcek, os invasores usaram um arquivo VBScript (Microsoft Visual Basic Scripting Edition) para liberar uma carga inicial de backdoor, antes de se moverem lateralmente para um segundo computador e comprometer seu registro com um binário malicioso, além de uma versão mais antiga de um malware de segundo estágio, usado para comunicações de persistência e comando e controle. Dois dias depois, a primeira estação de trabalho também recebeu essa carga de segundo estágio.

Então, em abril, após semanas de silêncio, os atores deram o próximo passo, introduzindo uma carga de terceira fase – uma versão personalizada da ferramenta cibercriminosa ShadowPad , que oferece aos atacantes recursos de controle remoto, keylogging e roubo de senhas. Em última análise, os adversários entregaram o malware para quatro computadores Piriform como uma biblioteca mscoree.dll disfarçada como uma biblioteca de tempo de execução do .NET.

“Os invasores aplicaram várias técnicas para se infiltrar em outros computadores na rede interna, incluindo o uso de senhas coletadas pelo keylogger, e o login com privilégios administrativos através do aplicativo Windows Remote Desktop“, afirma o Vlcek.

Os atacantes esperaram pacientemente cinco meses antes de finalmente contrabandearem seu malware para uma versão do CCleaner que foi enviada para as vítimas em agosto de 2017. Embora essencialmente todas as vítimas tenham sido infectadas com a carga inicial inicial, apenas 40 PCs são operados pela alta tecnologia e telecomunicações. As empresas foram infectadas pelo malware de segundo estágio, enquanto o malware de terceiro estágio ainda não havia sido distribuído no momento em que o esquema foi exposto, um mês depois.

Desde a descoberta do executável do ShadowPad nos quatro computadores Piriform, uma análise subseqüente e a busca de arquivos do VirusTotal encontraram mais duas instâncias do malware – uma na Coreia do Sul e uma na Rússia. “O executável malicioso mais antigo usado no ataque russo foi construído em 2014, o que significa que o grupo por trás dele pode ter espionado por anos“, afirma Vlcek. “Os exemplos do ShadowPad na Coréia do Sul e na Rússia enfatizam que o ShadowPad está ativo há muito tempo, e é assustador ver como o ShadowPad pode espionar tanto instituições e organizações.”

Não Existe mais Software de Fonte Segura! Notícias de vulnerabilidades e ataques usando aplicativos da Apple e Google Store, bem como o ataque usando o CCleaner põe em cheque a credibilidade e a confiança nas recomendações do tipo: “Apenas instale aplicativos de uma fonte confiável ou de uma loja de aplicativos confiável” . Comumente os consumidores ouvem sobre a segurança da informação e os profissionais tendem a concentrar suas recomendações na confiança: “Não clique em links da Web ou em anexos de um remetente não confiável” ou ainda “Apenas instale aplicativos de uma fonte confiável ou de uma loja de aplicativos confiável“. Mas, ultimamente, os piratas têm visado seus ataques mais adiante na cadeia de suprimentos de software, maliciosos malwares são injetados em downloads de fornecedores supostamente confiáveis, muito antes de você clicar para instalar.

fonte: SC Media

Veja também: