Um grupo de pesquisadores da Trend Micro, empresa de segurança cibernética, afirma ter encontrado malwares que vêm usando programas como o Slack e o repositório de códigos GitHub para roubar dados em PCs que usam o Windows como sistema operacional.
De acordo com o ZDNet, o malware faz parte de um “watering hole”, tipo de ataque designado para comprometer um site que será visitado pelo público-alvo dos criminosos. A Trend Micro informa que o endereço anônimo em questão seria direcionado para pessoas com interesse em “atividades políticas”. A empresa embarcou nessa empreitada contra o malware no fim de fevereiro.
O site atingido enviou cada visitante apenas uma vez para uma página maliciosa que explorava o CVE-2018-8174. Trata-se de uma falha de execução remota na ferramenta VBScript que pode ser aproveitada via Edge, o navegador da Microsoft. A empresa corrigiu esse bug em maio de 2018, ou seja, qualquer visitante que estivesse sem essa atualização pode ter sido infectado.
A Trend Micro deu o nome de ‘Slub’ para o malware, dado que o invasor depende do Slack e do GitHub para praticar o ataque. Os pesquisadores observam que, uma vez que um alvo é infectado, o malware inicial baixa outro conjunto de arquivos contendo o Slub. Só então ele verifica a presença de um software antivírus. Se algum for detectado, o código simplesmente abandona o PC.
Assim que a máquina é totalmente comprometida, a ‘porta traseira’ (ou backdoor) usa um canal privado do Slack para checar comandos retirados do GitHub, e então os envia para um canal privado do Slack, controlado pelo invasor. O PC infectado também carrega arquivos direcionados para o site de compartilhamento file.io, a partir do qual o invasor pega os documentos roubados.
Os responsáveis pelo Slub têm um “forte interesse em informações relacionadas a pessoas, com foco especial em software de comunicação”, afirmam pesquisadores da Trend Micro. A ‘porta traseira’ contém comandos para compactar a pasta da área de trabalho da vítima e roubá-la. Ele também procura dados offline armazenados no Skype, bem como informações sobre os hábitos dos usuários no Twitter.
O Centro Canadense de Segurança Cibernética colaborou para que a Slack Technologies removesse o malware. Desde então, o Slack desativou o espaço do seu serviço que estava sendo utilizado pelo atacante. O GitHub também removeu os arquivos da sua ferramenta.
“Nossa investigação nos faz acreditar, com muita confiança, que esse malware foi parte de uma possível campanha de ataque direcionado”, afirmam os pesquisadores da Trend Micro. “Os invasores também parecem ser profissionais, com base em seu modo de lidar com o ataque. Eles só usam serviços públicos de terceiros e, portanto, não precisam registrar nenhum domínio ou qualquer outra coisa que possa deixar rastros.”