Novo malware rouba dados por meio do Slack e GitHub

Um novo malware foi identificado pela empresa de segurança TrendMicro, o qual tem porquê cândido o roubo de informações pessoais, até o momento, de usuários interessados em política em universal. Batizado de “Slub”, o malware usa canais de subida verosimilhança de entrada ao usuário, notadamente sendo empregado via Slack, GitHub e um site de compartilhamento de arquivos (file.io) para ser executado.

Entrando na segmento técnica do malware, ele funciona ao direcionar o usuário que acessa qualquer uma destas plataformas a uma página maliciosa, a qual tira proveito do código CVE-2018-8174, uma falta de realização remota da engine VBScript que pode ser executada por meio do Internet Explorer. Tal falta teve um patch de correção lançado em maio de 2018 pela Microsoft, porém há máquinas que estão rodando seus sistemas operacionais sem essa atualização.

Uma vez que a máquina é infectada, o Slub vai diminuir uma série de outros pacotes contendo versões menores do malware, verificando a presença de antivírus e softwares de proteção e segurança. Se identificados, o malware simplesmente “sai” — o que deve ter contribuído para ele só ter sido revelado agora, segundo a TrendMicro.

Se uma máquina é totalmente comprometida pelo malware, porém, o Slub usará um via privado no Slack para registrar dados do usuário infectado. Os mesmos dados também serão salvos em arquivos e seu upload, feito no site de compartilhamento file.io, mencionado supra. Mais além, o malware também procura dados offline armazenados pelo Skype, além de monitorar hábitos de usuário em plataformas porquê Twitter, KaokaoTalk e BBS. Finalmente, ele copia todos os arquivos “.hwp”, uma extensão para um app de processamento de palavras coreanas.



A TrendMicro informa que alertou às plataformas mencionadas: os donos do site de compartilhamento trabalharam com as autoridades canadenses, onde o site é hospedado, para fechar o exploit de redirecionamento do site. O Slack informa que deletou o workspace privado e os arquivos relacionados, utilizados pelo malware e, finalmente, o GitHub removeu os arquivos relacionados de sua plataforma.

“Os invasores parecem ser profissionais, fundamentado na forma porquê eles executam nascente ataque. Eles usam somente serviços terceirizados, o que elimina a premência de eles registrarem qualquer tipo de domínio, evitando que deixem uma trilha do dedo a ser seguida”, explica a TrendMicro.

© 2019 Luís Eduardo Alló | Fórum | WikiAlló | Social | Privacidade| contato | Sobre |

Todos os direitos reservados. Desenvolvido por Luís Eduardo Alló