Pesquisadores da ESET anunciaram ter descoberto que o software de instalação disponibilizado no site oficial do provedor sul-coreano de VPN IPany, estava comprometido com um backdoor chamado SlowStepper. Todos os usuários que baixaram o instalador para Windows receberam tanto o software VPN legítimo quanto o backdoor malicioso, devido à substituição do instalador original por uma versão alterada por invasores do servidor de download.
Leia também
NTLMv1 ainda expõe redes corporativas
HPE diz investigar informação sobre vazamento
O SlowStepper possui dezenas de módulos que permitem a execução de diversas atividades maliciosas nos sistemas infectados. As capacidades incluem a coleta de arquivos como .txt, .doc, .docx, .xls, .xlsx, .ppt e .pptx, captura de dados de navegadores (incluindo senhas salvas), roubo de credenciais de Wi-Fi, coleta de informações de aplicativos como WeChat, Telegram, Tencent QQ, entre outros, além de gravação de tela e captura de imagens pela webcam.
As primeiras infecções conhecidas ocorreram em novembro e dezembro de 2023, mas o problema só foi identificado pela ESET em maio de 2024. Apesar de não estar claro como os invasores obtiveram acesso ao servidor da IPany para substituir o instalador, acredita-se que o grupo responsável, chamado PlushDaemon, utilizou vulnerabilidades em servidores web para viabilizar o ataque. Após ser notificada, a IPany removeu o instalador comprometido de seu site.
Este incidente destaca a importância de verificações regulares em servidores e pacotes de software oferecidos por provedores de serviços, bem como a necessidade de práticas de segurança robustas para evitar comprometimentos desse tipo, que podem afetar tanto empresas quanto usuários finais.
