{"id":19611,"date":"2022-06-05T16:39:06","date_gmt":"2022-06-05T19:39:06","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19611"},"modified":"2022-06-05T16:39:08","modified_gmt":"2022-06-05T19:39:08","slug":"ataques-man-on-the-side-para-implantar-o-backdoor-do-windealer","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2022\/06\/basico\/ataques-man-on-the-side-para-implantar-o-backdoor-do-windealer\/","title":{"rendered":"Ataques Man-on-the-Side para implantar o backdoor do WinDealer"},"content":{"rendered":"\n<h1 class=\"story-title\"><span>Hackers chineses LuoYu usando ataques Man-on-the-Side para implantar o backdoor do WinDealer<\/span><\/h1>\n<div class=\"separator\">\u00a0<\/div>\n<p style=\"text-align: justify;\"><span>Um ator de amea\u00e7a persistente avan\u00e7ada (APT) de l\u00edngua chinesa &#8220;extremamente sofisticado&#8221; apelidado <\/span>de LuoYu<span> foi observado usando uma ferramenta maliciosa do Windows chamada WinDealer, que \u00e9 entregue por meio de ataques man-on-the-side.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>\u201cEsse desenvolvimento inovador permite que o ator modifique o tr\u00e1fego de rede em tr\u00e2nsito para inserir cargas maliciosas\u201d, informou a empresa russa de seguran\u00e7a cibern\u00e9tica Kaspersky em\u00a0<\/span><span> um novo relat\u00f3rio. \u201cTais ataques s\u00e3o especialmente perigosos e devastadores porque n\u00e3o requerem nenhuma intera\u00e7\u00e3o com o alvo para levar a uma infec\u00e7\u00e3o bem-sucedida\u201d.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Conhecidas por estarem ativas desde 2008, as organiza\u00e7\u00f5es visadas pela LuoYu s\u00e3o predominantemente organiza\u00e7\u00f5es diplom\u00e1ticas estrangeiras estabelecidas na China e membros da comunidade acad\u00eamica, bem como empresas financeiras, de defesa, log\u00edstica e telecomunica\u00e7\u00f5es.<\/span><\/p>\n<div class=\"ad_two clear\">\u00a0<\/div>\n<p style=\"text-align: justify;\"><span>O uso do WinDealer pela <\/span><span>LuoYu<\/span><span> foi documentado pela primeira vez pela empresa de seguran\u00e7a cibern\u00e9tica de Taiwan <\/span><span>TeamT5<\/span><span> na Japan Security Analyst Conference (JSAC) em janeiro de 2021. As <\/span><span>campanhas de ataque<\/span><span> subsequentes usaram o malware para atingir entidades japonesas, com infec\u00e7\u00f5es isoladas relatadas na \u00c1ustria, Alemanha, \u00cdndia, R\u00fassia, e os EUA.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Outras ferramentas que aparecem com destaque no arsenal de malware do advers\u00e1rio menos conhecido incluem <\/span><span>o PlugX<\/span><span> e seu sucessor <\/span><span>ShadowPad<\/span><span> , ambos usados \u200b\u200bpor uma variedade de agentes de amea\u00e7as chineses para viabilizar seus objetivos estrat\u00e9gicos. Al\u00e9m disso, o ator \u00e9 conhecido por segmentar dispositivos Linux, macOS e Android.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O WinDealer, por sua vez, foi entregue no passado por meio de sites que atuam como <\/span><span>watering holes<\/span><span> e na forma de aplicativos trojans disfar\u00e7ados de mensagens instant\u00e2neas e servi\u00e7os de hospedagem de v\u00eddeo como Tencent QQ e Youku.<\/span><\/p>\n<p>\u00a0<\/p>\n<div class=\"separator\"><a href=\"https:\/\/thehackernews-com.translate.goog\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj5larTzIMeZxoVV-prF15LAtvDFAWKs_RL8UmiCcKkkejS2DSYQdar6l73miVU_TNzkdMjy_JvAh-cafVVl2rbkr1SN9fATNxBypMGXqakhK-raoAHNBJs7opQSUvL0gqsgmuvxt_A6uw9IQa9ZTf4OhIC1-7ODsNrmPMdEgEHCAtTRJlVwW5bbOP5\/s728-e100\/windealer.jpg?_x_tr_sl=auto&amp;_x_tr_tl=pt&amp;_x_tr_hl=pt-BR\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj5larTzIMeZxoVV-prF15LAtvDFAWKs_RL8UmiCcKkkejS2DSYQdar6l73miVU_TNzkdMjy_JvAh-cafVVl2rbkr1SN9fATNxBypMGXqakhK-raoAHNBJs7opQSUvL0gqsgmuvxt_A6uw9IQa9ZTf4OhIC1-7ODsNrmPMdEgEHCAtTRJlVwW5bbOP5\/s728-e100\/windealer.jpg\" alt=\"\" width=\"581\" height=\"313\" border=\"0\" data-original-height=\"392\" data-original-width=\"728\" \/><\/a><\/div>\n<div class=\"separator\">\u00a0<\/div>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Mas o vetor de infec\u00e7\u00e3o j\u00e1 foi trocado por outro m\u00e9todo de distribui\u00e7\u00e3o que faz uso do mecanismo de atualiza\u00e7\u00e3o autom\u00e1tica de aplicativos leg\u00edtimos selecionados para servir uma vers\u00e3o comprometida do execut\u00e1vel em &#8220;raras ocasi\u00f5es&#8221;.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O WinDealer, uma plataforma de malware modular em sua ess\u00eancia, vem com todos os sinos e assobios usuais associados a um backdoor tradicional, permitindo que ele colete informa\u00e7\u00f5es confidenciais, capturas de tela e execute comandos arbitr\u00e1rios.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Mas onde tamb\u00e9m se destaca \u00e9 o uso de um algoritmo complexo de gera\u00e7\u00e3o de IP para selecionar um servidor de comando e controle (C2) para se conectar aleatoriamente a partir de um pool de 48.000 endere\u00e7os IP.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>\u201cA \u00fanica maneira de explicar esses comportamentos de rede aparentemente imposs\u00edveis \u00e9 assumir a exist\u00eancia de um invasor que \u00e9 capaz de interceptar todo o tr\u00e1fego de rede e at\u00e9 modific\u00e1-lo, se necess\u00e1rio\u201d, informou a empresa.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Um ataque <\/span><span>man-on-the-side<\/span><span>, semelhante a um ataque man-in-the-middle, permite que um invasor desonesto leia e injete mensagens arbitr\u00e1rias em um canal de comunica\u00e7\u00e3o, mas n\u00e3o modifique ou exclua mensagens enviadas por outras partes.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Essas invas\u00f5es geralmente se baseiam em cronometrar estrategicamente suas mensagens, de modo que a resposta maliciosa contendo os dados fornecidos pelo invasor seja enviada em resposta \u00e0 solicita\u00e7\u00e3o de uma v\u00edtima por um recurso da Web antes da resposta real do servidor.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>O fato de o agente da amea\u00e7a ser capaz de controlar uma gama t\u00e3o grande de endere\u00e7os IP tamb\u00e9m pode explicar o sequestro do mecanismo de atualiza\u00e7\u00e3o associado a aplicativos genu\u00ednos para fornecer a carga \u00fatil do WinDealer, apontou Kaspersky.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Os ataques\u00a0 man-on-the-side s\u00e3o extremamente destrutivos, pois a \u00fanica condi\u00e7\u00e3o necess\u00e1ria para atacar um dispositivo \u00e9 que ele esteja conectado \u00e0 Internet&#8221;, infomou o pesquisador de seguran\u00e7a Suguru Ishimaru.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;N\u00e3o importa como o ataque tenha sido realizado, a \u00fanica maneira de as v\u00edtimas em potencial se defenderem \u00e9 permanecer extremamente vigilante e ter procedimentos de seguran\u00e7a robustos, como verifica\u00e7\u00f5es antiv\u00edrus regulares, an\u00e1lise de tr\u00e1fego de rede de sa\u00edda e registro extensivo para detectar anomalias. &#8220;<\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/thehackernews.com\/2022\/06\/chinese-luoyu-hackers-using-man-on-side.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2022\/06\/chinese-luoyu-hackers-using-man-on-side.html\u00a0<\/a> (Autor: <span class=\"author\">Ravie Lakshmanan<\/span>)<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Hackers chineses LuoYu usando ataques Man-on-the-Side para implantar o backdoor do WinDealer \u00a0 Um ator de amea\u00e7a persistente avan\u00e7ada (APT) de l\u00edngua chinesa &#8220;extremamente sofisticado&#8221; apelidado de LuoYu foi observado usando uma ferramenta maliciosa do Windows chamada WinDealer, que \u00e9 entregue por meio de ataques man-on-the-side. \u00a0 \u201cEsse desenvolvimento inovador permite que o ator modifique [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":19612,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-19611","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19611"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19611\/revisions"}],"predecessor-version":[{"id":19614,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19611\/revisions\/19614"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19612"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19611"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}