O grupo de hackers iranianos Seedworm está sendo apontado como o responsável pelo lançamento de um novo malware na internet. A organização também conhecida como MuddyWater, Mercury e Static Kitten já liberou ransomwares no passado.

Desta vez, o mais novo projeto ficou conhecido como PowGoop: trata-se de um pacote que contém um downloader e um arquivo ‘.dll’, e que se passam por um software de atualização do Google. Ele, então, se esconde na máquina do usuário, e consegue realizar a instalação de ransomwares no sistema.

Não é a primeira vez, no entanto, que o PowGoop é usado pelo Seedworm em situações de ataques cibernéticos. No início deste ano, o grupo utilizou do programa para obter acesso a sistemas de uma entidade estatal Irianiana, com o intuito de instalar o ransomware Thanos nos computadores.

Reprodução

publicidade

Os ataques de ransomware têm se tornado cada vez mais comuns na internet. Foto: rawf8/Shutterstock

“Embora não possamos confirmar a conexão, acreditamos que os atores que implantaram o ransomware Thanos na organização estatal do Oriente Médio também usaram um downloader que chamamos de PowGoop. Os atores usariam o downloader PowGoop para chegar a um servidor remoto para baixar e executar scripts PowerShell adicionais”, afirmou relatório da Palo Alto Networks, em setembro.

Também foram registradas funcionalidades que deixariam o PowGoop mais potencialmente perigoso, como a possibilidade de monitorar novos dispositivos de armazenamento móveis conectados aos computadores e também a possibilidade de sobrescrever o registro MBR dos sistemas, tendo assim maior controle sobre as máquinas.

A Clear Sky determinou, em relatório, que há grande possibilidade que o PowGoop tenha um objetivo de destruição maior que simplesmente a instalação de um ransomware para barganha. “Embora não tenhamos visto a execução da destruição em campo, devido às suas capacidades destrutivas, um propósito de ataque é mais provável do que um ransomware que está sendo implantado para fins financeiros”.

Ransomware é um tipo de software que, ao ser instalado em um computador, sequestra arquivos e bloqueia seu acesso por parte do usuário. Em seguida, cobra um ‘resgate’ pela liberação do conteúdo. A prática tem se tornado popular, e casos de ataques cresceram fortemente no mundo nos últimos meses.

Fonte: Security Week