Grupo hacker usa logotipo antigo do Windows para esconder malware

Grupo Witchetty usou técnica de esteganografia em símbolo do Windows para dificultar detecção do malware

Emerson Alecrim
• Atualizado às 16:51

Não duvido que algumas pessoas odeiam o Windows a ponto de considerar o seu logotipo algo maligno. O que ninguém espera é que um grupo hacker leve essa impressão a sério. Os membros do Witchetty ocultaram um cavalo de troia dentro de um antigo logotipo do sistema operacional. Como? Por meio de esteganografia.

Uma imagem do Windows 7 semelhante a esta foi usada na ação (imagem: reprodução/Microsoft)
Uma imagem do Windows 7 semelhante a esta foi usada na ação (imagem: reprodução/Microsoft)

A ideia é sofisticada, mas não desconhecida. A esteganografia é uma técnica que esconde informações dentro de uma imagem, vídeo ou outro tipo de arquivo. Frequentemente, essa “arte” é usada para dificultar o rastreamento da mensagem a ser enviada.

É o caso aqui. A Symantec relata que o Witchetty inseriu um cavalo de troia (backdoor) em uma imagem bitmap do logotipo que a Microsoft usava no Windows 7. O malware foi ocultado ali por meio de um algoritmo de criptografia XOR, que segue princípios específicos da lógica booleana.

Imagens não costumam levantar suspeitas em sistemas de segurança, a não ser que elas sejam malwares renomeados para formatos do tipo. É por isso que o truque da esteganografia pode funcionar. Há um código malicioso escondido ali, mas a imagem não deixa de ser verdadeira.

Começa com vulnerabilidades

No entanto, o ataque não começa com a imagem em si. Na verdade, os hackers exploram pelo menos dois conjuntos de falhas conhecidas no Microsoft Exchange — ProxyLogon e ProxyShell — para invadir servidores vulneráveis.

A ação é executada por dois backdoors: o X4 no primeiro estágio; o Looback no segundo. Este último tem um carregador de DLL que se encarrega de baixar a imagem de um repositório no GitHub, que é um hospedeiro confiável.

Pode haver outras fontes tão ou mais confiáveis. Isso porque, como o malware está oculto em um bitmap real, esses serviços não conseguem detectá-lo, pelo menos não facilmente.

Depois de o arquivo ser baixado, a extração do Backdoor.Stegmap, como o malware é chamado, ocorre a partir de uma decodificação feita com uma chave XOR. Na sequência, a ameaça pode executar uma série de ações. Copiar ou apagar arquivos, iniciar processos e baixar outras cargas maliciosas estão entre elas.

Grupo escondeu malware em logotipo do Windows (imagem ilustrativa: Darwin Laganzon/Pixabay)
Grupo escondeu malware em logotipo do Windows (imagem ilustrativa: Darwin Laganzon/Pixabay)

Depois vem a espionagem

Os procedimentos a serem executados dependem do alvo e do objetivo. De acordo com a Symantec, o Witchetty (também conhecido como LookingFrog) realiza espionagem. Neste ano, o grupo teria executado ações contra governos de dois países do Oriente Médio e uma bolsa de valores na África, só para dar exemplos recentes.

Existe a suspeita de que o Witchetty tenha ligação com o grupo hacker APT10 que, por sua vez, teria ligações com o governo chinês.

Detectar uma carga maliciosa escondida via esteganografia é difícil, mas a ação maliciosa pode ser bloqueada por meio de sistemas de verificação de intrusos, por exemplo.

Mas a prevenção continua sendo o melhor remédio. Medidas simples podem ser suficientes, como instalar atualizações de software. Para você ter ideia, as mencionadas vulnerabilidades no Exchange foram corrigidas no ano passado pela Microsoft.

Ah, e não se preocupe. A imagem que abre este texto não oculta nada. La garantía soy yo.

Leia | O que é um honeypot em segurança digital?

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Foi reconhecido nas edições 2023 e 2024 do Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.