Vítima é uma empresa de tecnologia médica. Esteganografia em WAV foi relatada recentemente, mas esta é a primeira vez em que ela é descoberta num ataque
Quem trabalha em segurança de supermercados sabe que mercadorias são roubadas até dentro de melancias. Em cibersegurança não é muito diferente: no mês passado, a Guardicore Labs, de Israel, trabalhou numa resposta a incidente no qual o atacante contaminou uma rede por meio de um criptominerador de Monero muito bem ofuscado num arquivo WAV.
A Guardicore não identificou a vítima. Informou apenas que é uma empresa de tecnologia médica, de médio porte. Essa técnica (esteganografia em WAV) foi relatada recentemente, mas esta é a primeira vez em que ela é descoberta como parte de um fluxo completo de ataque.
Malware explorou mesma vulnerabilidade que o Eternal Blue
A estratégia de invasão foi propagar o malware justamente nas máquinas que utilizam o Windows 7. Pior ainda, explorando a vulnerabilidade EternalBlue, a mesma utilizada pelo WannaCry no grande ataque de 2017.
Os primeiros sinais da contaminação, segundo relatório publicado pela Guadicore, apareceram ainda em 14 de Outubro do ano passado, com as “telas azuis da morte” em várias máquinas Windows na rede da empresa vítima. Uma tela azul indica um erro no modo kernel, que por si só é um evento incomum. As investigações mostraram fatos estranhos. Por exemplo, uma longa linha de comando fazendo acessando a dados suspeitos numa chave de registro. Uma pesquisa na rede mostrou mais de 800 máquinas – mais de 50% de toda a rede – com esses dados estranhos.
Na verdade, essa linha de comando era um script do Powershell codificado em base 64, com várias finalidades, tais como verificar a arquitetura do sistema e, ainda, ler os dados armazenados no registro mencionado acima para decodificá-lo e executá-lo também. Por enquanto esse script não está classificado como malware. Sua execução inclui uma verificação completa de sub-rede na porta 445, tentando espalhar o código malicioso em outros hosts da rede. A porta 445 é justamente onde roda o protocolo SMB, e pela qual um computador se comunica com outro na rede. Esse é o protocolo cujo bug foi aproveitado pelo exploit Eternal Blue (corrigido pela Microsoft no patch MS17–010), e que o WannaCry utilizou para se propagar.
Com essa descoberta, todo tráfego SMB foi bloqueado na rede. A Guardicore Labs fez também uma engenharia reversa do malware, o que revelou um arquivo executável com várias camadas. Em cada iteração ele descompactava e executava um módulo. O malware contém um módulo com o minerador de código aberto XMRig, para extrair a criptomoeda Monero. Além disso, faz uso da esteganografia e oculta seus módulos maliciosos dentro de arquivos WAV.
O ataque foi resolvido com a remoção do malware, encerramento dos processos maliciosos e exclusão das chaves de registro contendo o código para execução. Logo após essas etapas, todos os indicadores de comprometimento (telas azuis, comunicação de rede suspeita, processos do PowerShell etc.) deixaram de aparecer.
