Hong Kong — InkDesign News — O Trellix Advanced Research Center revelou uma nova onda de malware sofisticado, denominado SquidLoader, que está atacando instituições financeiras em Hong Kong. Esse malware apresenta taxas de detecção extremamente baixas, colocando em risco a segurança de dados sensíveis.
Incidente e vulnerabilidade
O ataque inicia-se por meio de e-mails de spear-phishing em mandarim, que se disfarçam como comunicações de instituições financeiras. Os e-mails contêm um arquivo RAR protegido por senha que abriga um executável malicioso. O corpo do e-mail é fundamental para enganar o destinatário, oferecendo a senha para acessar o anexo, que se apresenta como um “Formulário de Inscrição para Investidores do Bond Connect”. Este disfarce é aperfeiçoado pela simulação de um ícone de documento do Microsoft Word, além de enganar as propriedades do arquivo para parecer ser um software legítimo, como o AMDRSServ.exe.
Impacto e resposta
Quando executado, o SquidLoader desencadeia uma infecção complexa em cinco etapas, começando pelo desembrulho de seu payload principal. Após isso, conecta-se a um servidor de Comando e Controle (C2) por meio de um caminho de URL que simula serviços legítimos do Kubernetes. Essa comunicação inicial coleta informações críticas da máquina da vítima, permitindo que os operadores do malware estabeleçam acesso remoto persistente. “Suas técnicas intrincadas de anti-análise, anti-sandbox e anti-debugging, juntamente com suas baixas taxas de detecção, representam uma ameaça significativa para as organizações visadas”, afirmaram os pesquisadores da Trellix.
Mitigações recomendadas
Para conter essa ameaça, é imprescindível que as instituições financeiras adotem medidas de segurança robustas. Recomenda-se a implementação de sistemas de detecção de intrusões e a utilização de software antivírus atualizado que inclua mecanismos de proteção contra malware. Além disso, a educação contínua dos funcionários sobre técnicas de phishing é essencial, já que o método de ataque depende fortemente da interação do usuário. Como estratégia, deve-se reforçar a segurança dos e-mails recebidos, verificando sempre a autenticidade dos remetentes.
A evasividade do SquidLoader destaca a necessidade urgente de um aprimoramento na segurança cibernética para instituições em Hong Kong e em outras regiões alvo.
— Analista de Segurança, Trellix
O SquidLoader exemplifica um risco crescente em um cenário global, sublinhando a importância de uma vigilância contínua e melhorias nas práticas de segurança contra adversários cada vez mais sofisticados. A preparação é vital para mitigar riscos residuais e garantir a integridade dos sistemas.
Fonte: (Hack Read – Segurança Cibernética)
