São Paulo — InkDesign News — A equipe de Resposta a Incidentes do FortiGuard publicou uma investigação detalhada sobre um malware recentemente descoberto que operou de forma oculta em uma máquina Windows comprometida por várias semanas, explorando vulnerabilidades no sistema operacional.
Incidente e vulnerabilidade
O malware se destaca por sua corrupção deliberada dos cabeçalhos DOS e PE, dificultando a análise forense e os esforços de reconstrução por parte de pesquisadores de segurança. De acordo com as investigações, o código foi identificado em um processo dllhost.exe (PID 8200), que mantinha operações clandestinas. A versão do payload investigado não possuía cabeçalhos, desafiando assim a execução convencional de um binário do Windows.
Impacto e resposta
O estudo da Fortinet revelou que, após a infecção inicial, que empregava scripts em batch e PowerShell, o malware estabeleceu uma comunicação com um servidor de comando e controle (C2) através da porta 443, utilizando criptografia TLS. Esta operação permitiu a exfiltração de dados do sistema, incluindo versões do sistema operacional e outras informações críticas.
“Através da análise de memória, conseguimos identificar a comunicação e manipulação do malware em tempo real, revelando suas funcionalidades e seu impacto no sistema compromissado.”
(“Through memory analysis, we were able to identify the malware’s communication and manipulation in real time, revealing its functionalities and impact on the compromised system.”)— Fortinet Security Analyst, Fortinet
Mitigações recomendadas
Para mitigar riscos associados a esse tipo de ameaça, recomenda-se a aplicação de patches recomendados pelo fabricante e a adoção de boas práticas de segurança, como a execução de políticas rigorosas de controle de acesso, a análise regular de tráfego de rede e o monitoramento contínuo do sistema. Também é importante investir em soluções de segurança que realizem inspeção em nível de endpoint, uma vez que a tecnologia de criptografia utilizada pelo malware dificulta detecções convencionais.
“A implementação de camadas de defesa e a auditagem frequente podem ser determinantes na prevenção de incidentes semelhantes no futuro.”
(“The implementation of defense layers and frequent auditing can be crucial in preventing similar incidents in the future.”)— Cybersecurity Expert, Fortinet
A identificação deste malware ressalta a importância de estratégias de segurança robustas e o monitoramento contínuo das redes corporativas, uma vez que os riscos residuais persistem mesmo após a aplicação de medidas mitigatórias. A próxima etapa deve focar na avaliação de sistemas e na adoção de novas tecnologias de detecção.
Fonte: (Hack Read – Segurança Cibernética)
