Malware usa bug do Windows para criar tarefas ocultas no sistema

Malware Tarrask é usado por grupo de hackers apoiado pela China para apagar rastros de outros programas maliciosos e mantê-los ocultos no computador

Giovanni Santa Rosa

Um malware chamado Tarrask se aproveita de um bug do Windows para criar tarefas agendadas e mantê-las escondidas. Assim, ele pode se manter funcionando mesmo após reiniciar o sistema e ajudar outros códigos que deixam o computador vulnerável.

A descoberta foi feita pela Equipe de Detecção e Resposta da Microsoft (Dart, na sigla em inglês). O malware vem sendo usado pelo grupo de hackers Hafnium, que recebe apoio da China. O grupo já atacou empresas de defesa, think tanks e pesquisadores dos EUA.

“A Microsoft continua a rastrear o grupo Hafnium, que é patrocinado por um Estado e está no topo da nossa lista de prioridades. Novas atividades descobertas se aproveitam de vulnerabilidades de dia zero sem correção como vetores iniciais”, diz o Dart.

“A investigação revelou […] um malware de evasão de defesa chamado Tarrask que cria tarefas agendadas ‘ocultas’, e ações subsequentes para remover os atributos das tarefas, para escondê-las dos meios tradicionais de identificação.”

Como o malware Tarrask funciona

As tarefas que o Tarrask cria se aproveitam de um bug do Windows. Elas não aparecem ao usar o “schtasks /query” nem o Agendador de Tarefas. Como? O malware deleta o valor do descritor de segurança delas do registro.

Portanto, só dá para encontrá-las ao procurar minuciosamente o Registro do Windows. É preciso verificar as tarefas agendadas sem um valor no descritor de segurança.

E o que essas tarefas fazem? Elas “limpam” rastros de outros malwares que comprometem a segurança do sistema. Assim, fica mais difícil detectar suas atividades.

O processo para removê-las é bastante complicado — a Microsoft tem um passo a passo para administradores de sistema em seu blog.

Com informações: Bleeping Computer, Windows Central.

Leia | Como detectar e remover um rootkit [Windows/Mac]

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.