Um malware foi identificado pela CrowdStrike, empresa de cibersegurança, nesta sexta-feira, 19, como o primeiro a aproveitar a brecha do apagão cibernético para espalhar um vírus de computador. De acordo com a empresa, a ação visa sistemas na América Latina e foi identificado em um servidor no México.
Chamado crowdstrike-hotfix.zip, o malware se passa como uma atualização de correção para o software antivírus da CrowdStrike, que causou uma pane global em computadores com sistema operacional Windows, da Microsoft, nesta sexta.
As instruções em espanhol e os nomes usados na distribuição de um arquivo ZIP indicam, para a CrowdStrike, que países latinoamericanos são alvos mais sucessíveis da ameaça cibernética.
O arquivo contém dois tipos de malwares principais: o primeiro, chamado HijackLoader, é uma forma de instalação de programas que contorna programas antivírus, por “enganar” o sistema sobre o que está sendo instalado. Uma vez que se estabelece no computador, o HijackLoader descarrega um outro arquivo do tipo RemCos.
É o RemCos que carrega o vírus que infecta o dispositivo e permite que um hacker possa ter total acesso aos arquivos e sistemas da máquina afetada, além de poder monitorar todas as atividades feitas por aquele aparelho. No caso dessa manobra, o RemCos simula um aplicativo da própria CrowdStrike.
A empresa de cibersegurança alertou seus clientes para a ameaça e recomendou que instalações só sejam feitas a partir do contato com o suporte oficial da companhia.
Atualização pode ter perdido verificação
No apagão cibernético desta sexta, a CrowdStrike identificou que um erro em uma atualização de segurança do Falcon, um software antivírus para computadores Windows, causou a “tela azul da morte” em máquinas por todo o mundo.
Agora, profissionais da área afirmam que o problema poderia ser evitado caso a atualização tivesse passado por uma verificação de segurança - uma espécie de controle de qualidade antes de ser distribuído em larga escala.
Segundo especialistas ouvidos pela agência de notícias Reuters, a atualização provavelmente foi enviada aos usuários sem uma inspeção prévia, algo que pode acontecer quando uma ação desse tipo é realizada diariamente.
Para Patrick Wardle, um pesquisador de segurança especializado em estudar ameaças contra sistemas operacionais ouvido pela Reuters, o problema da atualização estava “em um arquivo que contém informações de configuração ou assinaturas”. Assinaturas como essa funcionam como códigos para detectar malwares.
“É muito comum que os produtos de segurança atualizem suas assinaturas, por exemplo, uma vez por dia, porque estão continuamente monitorando novos malwares e porque querem garantir que seus clientes estejam protegidos contra as ameaças mais recentes”, disse ele. A frequência das atualizações “provavelmente é o motivo pelo qual a (CrowdStrike) não testou tanto”, afirmou.
A CrowdStrike, porém, não informou se houve ou não a verificação do software antes do envio para seus clientes.
