Divulgada uma pesquisa que mostra hackers ligados à China utilizando vulnerabilidade no Microsoft Office para fazer ataques, em pacote de produtos da Microsoft destinado principalmente ao mercado de trabalho, escritórios, e mundo empresarial.
“Desavisados” vão tombar no trabalho
O alerta partiu da Proofpoint, uma empresa de segurança focada na análise de ameaças. As atividades maliciosas estão sendo feitas por um grupo de hackers conhecidos como TA413, por uma falha recém-descoberta na suíte de aplicativos da empresa dona do sistema operacional Windows.
O grupo em questão é considerado um APT, ligado ao governo chines, ou pelo menos é o que se acredita — APT pode ser traduzido como “ameaça persistente avançada”.
A vulnerabilidade está ativa
A vulnerabilidade começou a ficar conhecida no dia 27 de maio, quando o Nao Sec, grupo de pesquisa de segurança, foi ao Twitter para discutir uma amostra enviada ao VirusTotal, um serviço online de verificação de malware.
O grupo então sinalizou que o código malicioso estava sendo entregue por documentos do Microsoft Word, e uma vez no computador da vítima, executava comandos no PowerShell, ferramenta administrativa do Windows.
Dois dias depois, o pesquisador Kevin Beaumont compartilhou ainda mais informações sobre o vírus. Sua explicação apontou que a vulnerabilidade funciona da seguinte maneira: ela permite que os documentos do Word maliciosos carreguem arquivos de um servidor remoto na internet e execute comandos no PowerShell.
No fim, o vírus sequestra o programa utilizado pela Microsoft para coletar informações sobre problemas em seus aplicativos, o MSDT (Microsoft Support Diagnostic Tool).
A empresa já reconheceu a falha, chamada oficialmente de CVE-2022-30190, alertando em seu blog para ainda mais perigos.
Segundo ela, ao explorar o “bug”, um invasor com bastante conhecimento poderia facilmente instalar programas, tomar controle total de arquivos e até mesmo criar contas de usuários no sistema.
Hackers ligados à China usam a vulnerabilidade
E isso é exatamente o que o grupo TA413 estava fazendo. Através de um ataque apelidado pelos pesquisadores de “Follina”, o grupo, pelo menos nos ataques já identificados, disparou um número de documentos maliciosos que exploravam a vulnerabilidade na aplicação.
Para facilitar o ataque, os documentos eram supostamente enviados da Administração Central Tibetana, o governo tibetano no exílio com sede em Dharamsala, na Índia.
Em resumo, os hackers chineses já possuem um histórico de ataques aos tibetanos utilizando falhas de segurança em softwares.
Em 2019 o Citizen Lab publicou um documento com uma extensa lista de figuras políticas tibetanas afetadas com spyware, oriundos de ataques em diferentes meios, como navegador Android, links maliciosos enviados pelo WhatsApp e até extensões de navegador.
A Microsoft ainda não enviou um patch oficial para corrigir o bug, mas incentivou seus usuários a desabilitar manualmente o recurso de carregamento de URL no MSDT, responsável pelo problema.
O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui