Novo malware para Windows tira proveito de bug para esconder atividades
A Microsoft revelou ter descoberto um novo malware, com origens na China, que estaria a usar um bug no Windows até agora desconhecido para ocultar as suas atividades, e esconder tarefas agendadas no sistema.
O malware terá sido criado pelo grupo “Hafnium”, que é conhecido por ter atacado no passado várias instituições dos EUA, além de realizar campanhas de espionagem para o governo da China.
O malware descoberto pela Microsoft foi apelidado de “Tarrask”, sendo que este usava um bug desconhecido no Windows para ocultar as suas atividades, nomeadamente com a criação de tarefas agendadas no sistema para manter a infeção.
Mesmo que os utilizadores removessem os ficheiros associados com o malware, a tarefa agendada iria recriar os mesmos – e para os utilizadores, não iria encontrar-se visível nenhuma tarefa no final.
O malware ocultava as tarefas agendadas a partir do registo do Windows, portanto as mesmas não estariam visíveis nas ferramentas comuns do Windows. Invés disso, a única forma de identificar as tarefas seria manualmente acedendo ao registo do Windows.
Estas tarefas tinham como foco reinstalar o malware no sistema caso o mesmo fosse eliminado, mantendo uma ligação persistente com servidores em controlo dos atacantes para tal.
Tendo em conta que as tarefas agendadas ficariam ocultas no registo, seria consideravelmente mais difícil para os utilizadores identificar a origem da infeção do sistema. Para tal, o malware tira proveito de um bug no Windows que indevidamente oculta as tarefas das ferramentas tradicionais quando estas são adicionadas a partir do registo e alguns dos seus dados removidos do mesmo. As tarefas ainda irão correr normalmente, mas não vão surgir visíveis para os utilizadores.
Como sempre, a melhor forma de garantir a proteção contra este género de malwares passa por usar um software de segurança atualizado. Além disso, em atividades suspeitas do sistema, deve-se tentar identificar a origem dos problemas, sobretudo quando estes estão relacionados com ligações suspeitas ou ficheiros criados “sem autorização”.