As poderosas ferramentas de spyware móvel do setor de vigilância por aluguel têm recebido cada vez mais atenção ultimamente enquanto empresas de tecnologia e governos lidam com a escala da ameaça. Mas o spyware que tem como alvo laptops e PCs de mesa é extremamente comum em uma série de ataques cibernéticos, de espionagem apoiada pelo Estado a golpes com motivação financeira. Devido a essa ameaça crescente, pesquisadores da empresa de resposta a incidentes Volexity e da Louisiana State University apresentaram na conferência de segurança Black Hat em Las Vegas na semana passada ferramentas novas e refinadas que os profissionais podem usar para capturar mais spyware de PC no Windows 10, macOS 12 e Computadores Linux.
Spyware de PC amplamente usado—o tipo que geralmente registra alvos, rastreia o movimento de seu mouse e cliques, ouve através do microfone de um computador e tira fotos estáticas ou vídeo da câmera — pode ser difícil de detectar porque os invasores o projetam intencionalmente para deixar uma pegada mínima. Em vez de se instalar no disco rígido de um alvo como um aplicativo comum, o malware (ou seus componentes mais importantes) existe e é executado apenas na memória ou RAM do computador alvo. Isso significa que ele não gera certas bandeiras vermelhas clássicas, não aparece em logs regulares e é apagado quando um dispositivo é reiniciado.
Entre no campo da “memória forense”, que é voltado precisamente para o desenvolvimento de técnicas para avaliar o que está acontecendo neste espaço liminar. Na Black Hat, os pesquisadores anunciaram especificamente novos algoritmos de detecção com base em suas descobertas para a estrutura forense de memória de código aberto Volatility.
“A análise forense de memória era muito diferente cinco ou seis anos atrás em relação à forma como estava sendo usada em campo, tanto para resposta a incidentes quanto para aplicação da lei”, o diretor da Volexity, Andrew Caso diz WIRED. (A Case também é desenvolvedora líder de Volatility.) “Chegou ao ponto em que, mesmo fora de investigações de malware realmente intensas, é necessária a análise forense de memória. Mas para que evidências ou artefatos de uma amostra de memória sejam usados em juízo ou em algum tipo de processo legal, precisamos saber se as ferramentas estão funcionando conforme o esperado e que os algoritmos estão validados. Este material mais recente para o Black Hat é realmente algumas novas técnicas hardcore como parte de nosso esforço para construir estruturas verificadas.”
Case enfatiza que ferramentas de detecção de spyware expandidas são necessárias porque o Volexity e outras empresas de segurança veem regularmente exemplos reais de hackers implantando spyware somente de memória em seus ataques. , DSIRF.
“Vítimas observadas até o momento incluem escritórios de advocacia, bancos e consultorias estratégicas em países como Áustria, Reino Unido e Panamá”, escreveram a Microsoft e a RiskIQ. A principal carga útil do Subzero, eles acrescentaram, “reside exclusivamente na memória para evitar a detecção. Ele contém uma variedade de recursos, incluindo keylogging, captura de telas, exfiltração de arquivos, execução de um shell remoto e execução de plugins arbitrários.”
Os pesquisadores se concentraram particularmente em aprimorar suas detecções para como os diferentes sistemas operacionais se comunicam com “dispositivos de hardware” ou sensores e componentes como teclado e câmera. Ao monitorar como as diferentes partes do sistema são executadas e se comunicam umas com as outras e procurando novos comportamentos ou conexões, os algoritmos forenses de memória podem capturar e analisar mais atividades potencialmente maliciosas. Uma dica potencial, por exemplo, é monitorar um processo do sistema operacional que está sempre em execução, digamos, o recurso que permite que os usuários façam login em um sistema e sinalizá-lo se código adicional for injetado nesse processo depois que ele começar a ser executado. Se o código foi introduzido posteriormente, pode ser um sinal de manipulação maliciosa.
