2 horas atrás 2

Hackers usam notícias da crise Venezuela-EUA para aplicar golpes; saiba se proteger

“O que os EUA vão fazer com a Venezuela?” Um ataque de espiões cibernéticos já atingiu o governo americano usando exatamente essa isca — e a mesma técnica pode ser usada contra brasileiros interessados na crise regional. Se você encontrar uma suposta notícia sobre o caso que te incita a baixar algum arquivo, desconfie: é provável que você esteja diante de uma armadilha digital.

O golpe contra instituições dos Estados Unidos, no início deste mês, foi descoberto pela empresa de segurança digital Acronis, e demonstra, em mais uma ocasião, como praticamente qualquer pessoa está sujeita a cair em armadilhas com técnicas de engenharia social. Entender como este tipo de ataque funciona e conhecer os principais sinais de alerta pode poupar você e, principalmente, as organizações onde você atua, de muitos problemas no futuro. Acompanhe a seguir mais detalhes sobre o caso.

Wikimedia Commons. Montagem por Diogo Bugalho/TechTudo

Quem está atacando?
O golpe na prática
O que aconteceu nos EUA
Por que isso te afeta?
Como você pode se proteger

O malware descoberto neste mês e batizado pela Acronis de LOTUSLITE é atribuído a um grupo de ciberespionagem conhecido como “Mustang Panda”. Os hackers são alinhados a interesses estatais da China e operam desde pelo menos 2012, se especializando em ataques direcionados para coletar informações de inteligência.

O grupo tem como principais alvos órgãos governamentais, entidades diplomáticas e ONGs, incluindo instituições religiosas e centros de pesquisa. Com frequência, utiliza manchetes do noticiário e outras chamadas customizadas para atrair o interesse das vítimas. Até então, os principais ataques se concentravam na Europa e na Ásia, mas, agora, os espiões conseguiram chegar às Américas, atingindo alvos nos Estados Unidos.

O LOTUSLITE foi atribuído ao Mustang Panda devido a similaridades com outros ataques realizados pelo grupo. No entanto, até onde se sabe, a autoria não foi comprovada categoricamente. A Acronis, que descobriu o vírus, diz que a atribuição tem nível de “confiança moderada, seguindo práticas padrão da indústria”. A empresa de segurança digital também não divulgou quantas pessoas e quais entidades foram afetadas pelo golpe.

De acordo com especialistas da Threat Research Unit (unidade de pesquisa de ameaças digitais) da Acronis, o golpe com o LOTUSLITE é relativamente simples, do ponto de vista técnico, mas eficaz por empregar recursos de manipulação psicológica das vítimas.

Na prática, funciona da seguinte maneira: a vítima geralmente recebe um e-mail contendo um arquivo ZIP nomeado com referências a algum tema geopolítico. Dentro do ZIP, há um arquivo .exe com aparência legítima, mas também um arquivo DLL malicioso oculto na mesma pasta. Quando a vítima abre o ZIP e clica no arquivo .exe, o Windows carrega automaticamente o DLL e o código malicioso é executado silenciosamente, sem que o usuário perceba. A pesquisadora sênior do TRU, Subhajeet Singha, afirma que, na tela, tudo parece normal.

“A vítima não precisa instalar software nem autorizar nada. Apenas abrir o arquivo já é suficiente”, afirma.

Singha explica que DLL (Dynamic Link Library) é um arquivo normal do Windows que programas usam para carregar funções compartilhadas, mas que pode ser adulterado por hackers para conter instruções nocivas. Assim, quando um programa confiável carrega esse arquivo, as instruções maliciosas são executadas em segundo plano.

“É como substituir uma pequena peça interna de uma máquina por uma adulterada: a máquina continua funcionando, mas algo nocivo acontece por dentro, sem ser visível”, diz a pesquisadora.

No caso em questão, o DLL malicioso implanta um “backdoor”, ou “porta dos fundos”, no computador da vítima. O computador aparenta funcionar normalmente, mas, em segundo plano, o malware se comunica com servidores controlados pelos hackers e permite acesso remoto. Não há sinais visíveis como pop-ups, travamentos ou, na maioria dos casos, lentidão perceptível.

“O backdoor pode ser comparado a alguém que faz secretamente uma cópia da chave de uma casa e entra quando quiser”, explica Subhajeet Singha.

O vírus pode coletar automaticamente informações básicas do sistema, e os criminosos também podem se conectar remotamente para navegar pelos arquivos ou executar comandos manualmente, sem deixar sinais evidentes.

Ainda segundo a Acronis, o LOTUSLITE não foi projetado para se espalhar automaticamente, e é usado em ataques direcionados. A remoção do vírus de um computador infectado é possível, mas depende de ferramentas específicas para lidar com esse tipo de ameaça.

No ataque descoberto pela Acronis, a isca usada para convencer a vítima a clicar tinha títulos apelativos relacionados à crise entre Venezuela e Estados Unidos, que vinha escalando há meses e culminou com a captura do presidente venezuelano, Nicolás Maduro, por forças norte-americanas em 3 de janeiro.

O primeiro arquivo do ataque, o ZIP enviado por email, vinha com o nome “US now deciding what’s next for Venezuela.zip”, ou “Estados Unidos estão decidindo o que será da Venezuela”, em tradução livre. Ao abrir a pasta zipada, a vítima encontrava um arquivo executável (.exe) com o nome "Maduro to be taken to New York.exe" (Maduro será levado para Nova York). Vale lembrar que, nas primeiras horas da operação que prendeu Maduro, o paradeiro do presidente era desconhecido.

A pasta zipada, no entanto, também continha o DLL malicioso, nomeado como kugou.dll. Esse é o nome de um software de música comum na China, o que ajuda a “camuflar” o vírus entre os demais arquivos do computador. Ao abrir o ZIP, o arquivo DLL permanecia oculto, mas podia ser encontrado com simples mudanças nas configurações.

Já o arquivo .exe, que parecia trazer uma notícia em primeira mão, era também uma versão modificada do software de música chinês, que se “confundia”, rodava o DLL malicioso e criava o backdoor no computador da vítima. O vírus continha instruções para se copiar para a máquina atacada sem solicitar permissão e sem interferir na interface do usuário. Além disso, também era programado para rodar antes de outros programas, praticamente garantindo sua permanência no dispositivo invadido.

A partir daí, o hacker poderia abrir remotamente um prompt de comando e procurar, copiar e manipular todas as informações e arquivos no computador. Os dados eram transmitidos da máquina invadida para o hacker se disfarçando de operações Google, o que camuflava o tráfego e permitia que ele passasse despercebido pelos monitoramentos de cibersegurança.

A Acronis identificou que os alvos foram computadores de instituições governamentais dos Estados Unidos e conseguiu mapear a conexão até um servidor alugado no estado norte-americano do Arizona, usado como intermediário pelos criminosos. No entanto, a empresa não deu mais detalhes sobre as vítimas, limitando-se a dizer que “não se tratou de uma infecção em larga escala”.

Embora o ataque com o LOTUSLITE tenha foco em funcionários do governo dos Estados Unidos, ele serve como um alerta real para usuários no Brasil. Como a Venezuela é um país vizinho ao nosso, a crise política e humanitária no país gera interesse e repercussões diretas por aqui e em toda a região, o que naturalmente capta as atenções dos brasileiros. Os hackers aproveitam justamente esse interesse, pois sabem que temas polêmicos e urgentes geram cliques rápidos.

Mesmo quem não trabalha em órgãos governamentais também pode ser alvo, já que os espiões podem infectar cidadãos comuns para usá-los como "ponte" para outros ataques, ou simplesmente para coletar dados que possam ser vendidos ou usados em outros golpes. Além disso, a técnica de disfarçar o vírus em uma notícia de impacto pode ser adaptada para qualquer assunto, tornando quase qualquer pessoa um alvo em potencial.

Como você pode se proteger

Desconfie de arquivos sobre temas quentes. Veículos de comunicação sérios disponibilizam as notícias diretamente em seus sites, e não por meio de emails com arquivos ZIP anexados. Desconfie também de títulos urgentes demais ou que prometem revelar algo muito importante. É provável que o autor esteja tentando te manipular.
Verifique o remetente antes de clicar. Se você recebeu algo supostamente muito importante de uma pessoa desconhecida, sem que você tenha solicitado, é possível que você esteja diante da isca para um golpe. Nesses casos, resista à curiosidade de abrir links e arquivos. E-mail de desconhecido com anexo? Apague. Link encurtado com chamada bombástica? Não clique. Arquivo .exe com suposta notícia? Não faz sentido; jamais execute.
Mantenha proteções ativas. Um antivírus atualizado detecta a maior parte das ameaças digitais, e mesmo o Windows Defender, disponível gratuitamente no sistema da Microsoft, já é uma poderosa barreira. Para garantir uma melhor proteção, mantenha sempre ativadas as atualizações automáticas e a verificação individual de arquivos baixados.
Use o bom senso e não se deixe enganar. Aqui valem as dicas de sempre para lidar com a informação online. Notícias legítimas são publicadas por vários veículos de comunicação em seus sites, e costumam citar dados confirmados por fontes oficiais ou especialistas reconhecidos em suas áreas. Se você se deparar com materiais que prometem revelações espetaculares sem dar o devido contexto, é provável que você esteja diante de um conteúdo criado para te manipular.

Veja também: O INSTAGRAM VAI FICAR PAGO? Calma! Não é bem assim...

O INSTAGRAM VAI FICAR PAGO? Calma! Não é bem assim...