Google expõe malware que espionou usuários por 3 anos sem ninguém notar

Um relatório do Google Threat Intelligence Group (GTIG) expôs as ações de um grupo hacker chinês chamado APT24 que usava um malware para ciberespioangem há três anos sem ser detectado.

• Hackers chineses usam IA para automatizar campanha de ciberespionagem
• China nega, mas vazamento indica criação de “armas cibernéticas” estatais

Identificado pelo termo BadAudio, o software malicioso foi usado em campanhas que comprometeram computadores com Windows a partir de métodos que ficaram cada vez mais sofisticados ao longo do tempo.

De acordo com a agência de inteligência do Google, os criminosos começaram os trabalhos em novembro de 2022, modificando mais de 20 sites públicos e legítimos com a injeção de um código malicioso feito em JavaScript.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Como o malware ataca

Durante as investigações, o GTIG detectou que o APT24 usava o malware para identificar possíveis candidatos para o processo de espionagem, exibindo um pop-up falso de atualização de software para fingir legitimidade e, dessa maneira, influenciar a vítima a baixar o BadAudio sem que ela soubesse qual era a real intenção do recurso.

O relatório informa que o software malicioso começava a agir por meio do sequestro da ordem de pesquisa de DLLs, o que permitia que um aplicativo legítimo levasse para o sistema um arquivo corrompido pelo vírus.

O grande ponto de atenção está na maneira silenciosa em como o malware fazia isso, já que os hackers usavam uma técnica de ofuscação de código chamada “control flow flattening” para modificar a ordem natural das coisas na execução de um programa.

Assim, ao substituir o código linear por uma série de blocos desconectados, o processo impedia que qualquer ação de engenharia reversa, seja manual ou automatizada, revertesse o problema, fazendo com que os cibercriminosos escondessem suas atividades fraudulentas.

Depois desse processo inicial, o BadAudio infectava o sistema operacional, coletando detalhes básicos de estrutura, além de criptografar informações sensíveis para enviá-las a um centro de comando.

Espionagem em evolução

Os especialistas do Google identificaram uma evolução nas técnicas de espionagem do grupo hacker chinês ao longo dos três anos de operação silenciosa.

Entre os casos investigados, a agência de inteligência descobriu que o APT24 fazia operações isoladas de spearphishing, um tipo de phishing “personalizado” que, ao invés de usar mensagens genéricas em ataques em massa, foca em apenas uma única pessoa ou instituição específica para obter informações sigilosas e aplicar golpes.

O relatório revelou que o grupo distribuía o BadAudio nessas campanhas de spearphishing pelo envio de e-mails para os alvos fingindo ser uma organização legítima de resgate de animais.

Também foi descoberto que os cibercriminosos usavam serviços como Google Drive e o OneDrive para distribuir o malware, embora muitas das tentativas tenham sido detectadas pelo Google, indo diretamente para o spam antes de chegar aos usuários.

Apesar disso, a empresa reforçou como o APT24 conseguiu permanecer indetectável por anos justamente pelas técnicas sofisticadas de “invisibilidade”. Para ter uma noção do caso, das oito amostras analisadas pelo GTIG, apenas duas foram sinalizadas como maliciosas após uma análise com mais de 25 plataformas de antivírus.

Leia também:

• China acusa EUA de roubar R$ 69 bilhões em bitcoin em ataque hacker
• Google declara guerra e processa grupo chinês por golpe bilionário de SMS
• Ônibus elétricos chineses podem estar na mira de cibercriminosos?

Leia a matéria no Canaltech.