DALL E3 Microsoft Designer image vpn security cyber brasil

Grupo caça credenciais de VPN da Fortinet

Da Redação
20/11/2024

O malware DeepData, uma estrutura avançada de vigilância, foi detectado explorando um zero-day no cliente VPN Fortinet para Windows, conforme relatado pela empresa de segurança cibernética Volexity. A estrutura utiliza plug-ins para capturar informações sensíveis armazenadas em navegadores, aplicativos de comunicação e gerenciadores de senhas, além de gravar áudio através de microfones. Segundo a Volexity, o bug identificado, ainda sem um identificador CVE, permite a extração de nomes de usuários e senhas diretamente da memória do processo, evidenciando uma grave falha na segurança do sistema.

Leia também
Spyware atacou mesmo com processo na justiça
Palo Alto corrige vulnerabilidades gravíssimas

DeepData e outro malware relacionado, LightSpy, foram atribuídos ao agente APT41, da China, conhecido por atividades de espionagem direcionadas a jornalistas, políticos e ativistas no Sudeste Asiático. A Volexity também destacou que o grupo BrazenBamboo, associado à China, é responsável pelo desenvolvimento dessas ferramentas de vigilância. As semelhanças entre DeepData e LightSpy, como nomes de arquivos, funções de plug-ins e infraestrutura compartilhada, reforçam a ligação entre essas famílias de malware.

A pesquisa revelou uma nova variante do LightSpy para Windows, que opera de maneira distinta das versões anteriores para iOS, Android e macOS. Executado na memória por meio de shellcode, ele usa WebSocket e HTTPS para comunicação e combina um orquestrador com plug-ins sofisticados. Esses plug-ins têm capacidades de coleta de dados similares às observadas nas versões móveis, demonstrando a evolução multiplataforma do malware. A análise também confirmou que o spyware DragonEgg, detalhado anteriormente, é uma iteração do LightSpy.

A Volexity identificou aproximadamente 30 servidores de comando e controle (C&C) operando DeepData e LightSpy, além de infraestrutura adicional usada pelo BrazenBamboo para suportar outras ferramentas de espionagem. Segundo a Volexity, a amplitude das capacidades do grupo sugere um alto nível de recursos e maturidade operacional. Esse cenário alerta para a crescente sofisticação de agentes patrocinados pelo Estado, destacando a necessidade de medidas proativas e robustas de defesa cibernética para mitigar ameaças em evolução.

Compartilhar: