Hackers estão usando sites populares para atacar agências governamentais, ONGs e outros alvos de espionagem cibernética com táticas cada vez mais sutis. Com páginas até da Microsoft sendo usadas.
A informação vem da empresa de segurança FireEye, que revelou um grupo de hacking baseado na China que usou o TechNet, popular fórum online da Microsoft, para ativar um malware que poderia conceder acesso à rede interna de uma organização e, potencialmente, permitir a cópia de dados privados remotamente.
O programa estava sendo executado por um grupo conhecido como APT17, que tem como alvo agências governamentais, ONGs e empresas legais, e inicialmente espalhava malware potencialmente usando um arquivo malicioso entregue através de e-mail. Se o malware carregasse com êxito, poderia ser acionado remotamente utilizando código que foi incorporado dentro de um comentário deixado no fórum TechNet.
Blackcoffee, o software que APT17 estava utilizando em seus ataques pode permitir que o grupo realize uma série de atividades, incluindo upload e download de arquivos, encerrar processos em uma máquina host e introduzindo outros comandos backdoor.
A boa notícia é que os comentários postados no fórum parecem spam e não fazem sentido, afastando usuários dos ataques.
No final, a FireEye contatou a Microsoft, que fechou contas do grupo no TechNet, mas previu que a estratégia se torne mais comum e evolua no futuro.
“Você acessa diversos sites e vê o absurdo que as pessoas postam em seções de comentários, mas você já pensou que [as mensagens] são tão ruins que poderiam ser um atacante procurando uma intromissão?” disse Bryce Boland, da FireEye.
