Segurança e Privacidade

Malware passa por sistema de segurança da Microsoft e pode roubar seus dados

Por Rafael Arbulu, editado por Rafael Rigues
30/06/21 16h56, atualizada em 01/07/21 12h43
imagem mostra um desenho digital de uma aranha "invadindo" um processador, simbolizando a infecção de um malware

Imagem: archy13/Shutterstock

Um malware conseguiu contornar o sistema de segurança implementado pela Microsoft para se instalar em máquinas com Windows 10 sem ser detectado. O rootkit conhecido como “Netfilter” parece ter a função primária de “escutar conexões SSL”, o que, em tese, permite a um hacker observar o tráfego e interceptar dados sigilosos.

A descoberta foi feita pelo pesquisador de segurança digital Karsten Hahn, que trabalha na empresa G Data. Sua companhia identificou o malware em uma análise separada, mas inicialmente ele pensou tratar-se de um falso positivo, já que a Microsoft havia assinado o Netfilter em seu Programa de Compatibilidade de Hardware do Windows (WHCP).

Leia também

Malware conseguiu passar despercebido pelos sistemas de segurança do Windows, abrindo espaço para execuções de hackers que roubam seus dados. Imagem: Yuttanas/Shutterstock

Contextualizando: há mais de uma década, a Microsoft implementou um programa que exige assinaturas e certificados válidos de segurança digital para empresas terceiras que desenvolvam recursos para o Windows. Sem as devidas validações desses certificados, o recurso em questão é marcado pelo Windows Defender e barrado de funcionar na máquina – isso, se ele ainda conseguir se instalar.

Um rootkit – o tipo de malware correspondente ao Netfilter – é escrito de forma impede que seja “visto” pelo sistema operacional. Este requer certificados de autenticação de tráfego para dados enviados por meio de conexões SSL seguras e criptografadas (protocolo TLS, ou “Transport Layer Security”).

Essas conexões, em tese, só permitem que o conteúdo que circula por elas seja visto por quem o envia e por quem o recebe. É a chamada “criptografia de ponta a ponta” que você ouve falar em apps como WhatsApp, Zoom e similares.

Isso segue um protocolo específico para garantir que a segurança seja genuína e confiável. Certificados do tipo são emitidos por autoridades digitais parceiras da Microsoft.

Ao instalar um certificado falso, o Netfilter contorna essa necessidade. E como o Windows não o “enxerga”, os mecanismos de defesa do sistema operacional não vão identificá-lo e, evidentemente, não poderão removê-lo.

O pesquisador especializado em engenharia reversa Johann Aydinbas, via Twitter, deu mais alguns detalhes do Netfilter, explicando que seu trabalho é justamente o de plantar uma “escuta” em conexões SSL, além de instalar e proteger um certificado falso no registro de sistema.

Com isso, o malware passava pelo sistema de segurança da Microsoft, roubando seus dados e encaminhando-os para um servidor controlado pelo hacker – neste caso, localizado no endereço “hxxp://110.42.4.180:2081/s” já sem a criptografia de proteção.

A Microsoft comentou o caso em um post publicado em seu blog de segurança, dizendo que, até o momento, não identificou nenhuma situação de exploração dessa falha, no intuito de tranquilizar seus consumidores. Ela reconhece, no entanto, que o caso é grave:

“A Microsoft está investigando a ação de distribuição de drivers maliciosos dentro de ambientes de jogos. O proprietário entregou o driver para certificação por meio do WHCP. Os drivers em si foram construídos por uma empresa terceirizada. Nós suspendemos a conta e revisamos seus pedidos de certificação em busca de sinais adicionais de emprego de malware”, diz trecho do post.

A empresa também atualizou seus registros de assinatura de malware para que o Netfilter seja apropriadamente identificado daqui em diante.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!

Deixe sua opinião
Sugeridos pra você
Tags