Uma empresa de mercenários cibernéticos na Áustria provavelmente está usando explorações de dia zero no software Windows e Adobe para espalhar malware para as vítimas, de acordo com a Microsoft.
A Microsoft fez a acusação em um relatório na quarta-feira que vinculou os ataques de malware a uma misteriosa empresa de coleta de informações na Áustria chamada DSIRF. Redmond afirma que a DSIRF é na verdade uma empresa de hackers profissional que vende acesso à sua ferramenta de malware “Subzero” para os clientes.
Nos últimos dois anos, a Microsoft detectou malware Subzero circulando em computadores com a ajuda de vulnerabilidades anteriormente desconhecidas no Windows e no Adobe Reader. “As vítimas observadas até o momento incluem escritórios de advocacia, bancos e consultorias estratégicas em países como Áustria, Reino Unido e Panamá”, acrescentou a empresa.
Em maio, a Microsoft detectou um ataque desse tipo que envolveu o envio de um PDF malicioso por e-mail para infectar o computador de um usuário. O PDF foi projetado para explorar uma vulnerabilidade no Adobe Reader para executar remotamente código de computador na máquina da vítima. O ataque poderia então elevar os privilégios para executar o código no nível do sistema, aproveitando uma falha anteriormente desconhecida no Windows, apelidado de CVE-2022-22047, que a Microsoft corrigiu no início deste mês.
O encadeamento das duas vulnerabilidades supostamente permitiu à DSIRF baixar e instalar o malware Subzero no computador da vítima. De acordo com a Microsoft, o principal componente do malware permite registrar pressionamentos de tecla, capturar capturas de tela, roubar arquivos e executar programas adicionais na máquina sequestrada.
Além de usar arquivos PDF, a Microsoft também descobriu que o DSIRF depende de documentos do Excel que contêm informações maliciosas. macro para espalhar secretamente Subzero.
A empresa está vinculando os ataques ao DSIRF, citando os servidores e domínios da Internet com os quais o malware Subzero se comunicou. A RiskIQ, uma empresa de inteligência de ameaças que a Microsoft adquiriu no ano passado, conseguiu identificar “um grande número de endereços IP adicionais sob o controle” de hackers.
“Esse processo produziu vários domínios com links diretos para o DSIRF, incluindo demo3[.]dsirf[.]eu (o site da empresa) e vários subdomínios que parecem ter sido usados para desenvolvimento de malware, incluindo debugmex[.]dsirflabs[.]eu (provavelmente um servidor usado para depurar malware com a ferramenta de utilitário personalizado Mex) e szstaging[.]dsirflabs[.]eu (provavelmente um servidor usado para hospedar malware Subzero)”, disse a Microsoft.
O DSIRF não respondeu imediatamente a um pedido de comentário. Enquanto isso, a Microsoft está pedindo aos clientes que priorizem a correção da falha CVE-2022-22047 do Windows em seus computadores. Isso pode ser feito instalando as atualizações mais recentes do Windows.
O antivírus Microsoft Defender da empresa também foi atualizado para detectar a presença de malware Subzero. No entanto, a Microsoft não conseguiu descobrir os detalhes exatos da vulnerabilidade do Adobe Reader, que a empresa suspeita com “confiança média” continua sendo uma falha publicamente desconhecida no software.
