Como a CIA cria malware para infectar computadores com Windows

O Wikileaks continua com a série de vazamentos da CIA e divulgou na sexta-feira (7) documentos que mostram o funcionamento do Grasshopper, uma ferramenta que a agência de inteligência utilizou para criar seus malwares para Windows. Os softwares maliciosos possuem até partes de códigos de um rootkit russo.

Os detalhes do Grasshopper estão espalhados em 27 documentos, alguns deles com mais de 100 páginas. Um dos manuais de usuário revela que era possível criar um instalador personalizado para cada pessoa monitorada, dependendo das informações que a agência queria coletar e dos softwares de segurança instalados na máquina.

Segundo os documentos, a agência fazia testes para descobrir em quais condições seus malwares eram detectados pelos antivírus, incluindo Kaspersky Internet Security, Symantec Endpoint, Rising e Microsoft Security Essentials. O Grasshopper permitia criar malwares que entrassem em ação somente em sistemas com antivírus específicos.

Um dos modos de execução aproveitava uma característica do Windows Update para infectar o sistema: a cada 22 horas (ou a cada reinicialização), mesmo se as atualizações automáticas estivessem desativadas, o Windows carregava uma série de arquivos, entre os quais estava o malware do Grasshopper. Esse malware era executado com permissões de sistema e rodava um processo para garantir que ele continuasse na máquina.

CIA malware "Grasshopper" re-installs itself every 22 hours by corrupting Windows Update–even if is disabled. https://t.co/NzCiyKkk6C pic.twitter.com/EhLy7QXeEq

— WikiLeaks (@wikileaks) 7 de abril de 2017

Para criar o “método de persistência”, técnica que mantém o malware instalado na máquina, a CIA pegou partes de um antigo rootkit. Segundo a própria agência, “os componentes foram retirados do malware conhecido como Carberp, um rootkit russo utilizado pelo crime organizado”. Ele era um malware bancário poderoso que chegou a ser vendido por US$ 40 mil no mercado negro e teve seu código-fonte vazado em 2013.

Não sabemos se a CIA ainda utiliza as mesmas ferramentas, mas o vazamento pode ser útil para que potenciais alvos da agência procurem por rastros do Grasshopper em seus sistemas. Todos os documentos estão disponíveis no site do Wikileaks.

Com informações: Ars Technica, The Next Web, Engadget, CSO.