Suposta volta do HackingTeam e bug no Silverlight ameaçam usuários de Macs

Em meados do ano passado, o grupo italiano HackingTeam teve seus servidores invadidos e mais de 1 milhão de mensagens de email e um total de 400GB de informações confidenciais vazadas na internet, praticamente levando-o à sua extinção. Conhecido pela sua capacidade de fornecer malwares como serviço, a organização voltou a ser notícia nesta semana, graças a análises de uma amostra de software malicioso descoberta para OS X.

A amostra foi analisada pelo pesquisador Pedro Vilaça, que localizou referências ao código-fonte do serviço de execução remota usado pelo HackingTeam, através de engenharia reversa. Segundo a análise de Vilaça e de Patrick Wardle, outro pesquisador conhecido por estudar malwares para Macs, o novo worm instala de fato serviços conhecidos de autoria do grupo italiano, embora não tenham muita diferenciação em relação aos que foram revelados com o seu vazamento, ocorrido em julho.

Ele também já foi reconhecido pelo serviço VirusTotal, mantido pelo Google. Dos 55 antivírus conhecidos no mercado que possuem scanners suportados pela empresa, 13 já possuem assinaturas que o reconhecem como ameaça. Apesar disso, o malware mostrou-se capaz de burlar proteções do OS X para se esconder dos usuários, inclusive usando uma chave estática usada normalmente pela Apple, para proteger seu conteúdo.

Por enquanto, ainda não se sabe como esta amostra de software malicioso pode ser instalada em Macs. Os pesquisadores sugerem que ele possa ser usado em aplicativos legítimos, os quais os usuários podem ser enganados a instalar, ou em exploits que possam carregar códigos maliciosos. Em ambos os casos, ele já é reconhecido por instalar seus arquivos em um diretório situado nos arquivos do próprio usuário autenticado no sistema (~/Biblioteca/Preferências/8pHbqThW/), tornando fácil seu reconhecimento para remoção.

Logo do Microsoft SilverlightVulnerabilidade no Silverlight

Em uma nota relacionada, alguns sites maliciosos foram reconhecidos usando outra tática de ataque descoberta a partir do HackingTeam, baseada em uma vulnerabilidade do plugin Silverlight já corrigida pela Microsoft. Ela também é capaz de carregar o serviço de execução remota dos italianos na máquina dos usuários, bem como qualquer outro código malicioso.

Neste caso, porém, mitigar os riscos não chega a ser trabalhoso: o plugin sequer tem ganho atenção de desenvolvedores em novos projetos — seu maior endossante, o Netflix, já o tornou opção secundária em prol de um player HTML5, há quase dois anos —, então removê-lo de qualquer computador em uso não representa nenhum problema. Até porque, caso você seja usuário do Google Chrome, já não consegue mais usá-lo desde janeiro do ano passado.

Posts relacionados

Comentários