Olhar Digital > Segurança e Privacidade > Aviso falso de certificado expirado em serviço do Windows é usado para invasão de dispositivos

Aviso falso de certificado expirado em serviço do Windows é usado para invasão de dispositivos

Criminosos usam um aviso falso de certificado expirado para que usuários do Windows Information Services baixem malware que usa o TeamViewer
Por Ronnie Mancuzo, editado por Fábio Marton 27/09/2021 16h55
Malware responsável pela instalação de um backdoor no ataque da SolarWinds é descoberto
Foto: solarseven/Shutterstock
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Cibercriminosos estão comprometendo o software de serviços Windows Internet Information Services (Windows IIS), adicionando um falso aviso de certificado expirado que faz o usuário baixar um instalador malicioso. Com o golpe, os agentes mal-intencionados conseguem acessar de forma remota o dispositivo da vítima.

Ofertas
Rope Hero Game : Flying Spider Fighter Action Games 25
Vendido por Amazon
Rope Hero Game : Flying Spider Fighter Action Games 25
Por R$ 65,29
32 in1 Case Estojo Para Nintendo Switch 2 Acessórios Capa Protetora Para Com Compartimentos Bolsa Perfeita Para Viagens Estojo Bag de Proteção e Acessórios Para
Vendido por Amazon
32 in1 Case Estojo Para Nintendo Switch 2 Acessórios Capa Protetora Para Com Compartimentos Bolsa Perfeita Para Viagens Estojo Bag de Proteção e Acessórios Para
De: R$ 119,99
Por: R$ 94,99
Baseus: 2 Cabos USB-C/USB-C, 100W, Carregamento Rápido, Transferência de Dados Super Rápida, Compatível com iPhone 15 (2, centímetros)
Vendido por Amazon
Baseus: 2 Cabos USB-C/USB-C, 100W, Carregamento Rápido, Transferência de Dados Super Rápida, Compatível com iPhone 15 (2, centímetros)
De: R$ 49,99
Por: R$ 39,99
Brother HL-L1232W Impressora Laser Monocromática, Wi-Fi, USB 2.0, 220V, Preta
Vendido por Amazon
Brother HL-L1232W Impressora Laser Monocromática, Wi-Fi, USB 2.0, 220V, Preta
De: R$ 1.299,00
Por: R$ 1.109,00
Carregador USB-C Turbo para iPhone 15, 15 pro, 15 Pro Max, iPhone 16, 16 pro, 16 pro Max, Compativel c/Samsung Galaxy, IOS/Android, Super Rapido, Fonte Entrada Tipo-C + Cabo USB-C, Branco Homologado
Vendido por Amazon
Carregador USB-C Turbo para iPhone 15, 15 pro, 15 Pro Max, iPhone 16, 16 pro, 16 pro Max, Compativel c/Samsung Galaxy, IOS/Android, Super Rapido, Fonte Entrada Tipo-C + Cabo USB-C, Branco Homologado
De: R$ 49,90
Por: R$ 39,90
TCL Projetor A1 GTV, licenciado oficialmente pela Netflix, projetor externo portátil com Wi-Fi e Bluetooth, suporte nativo 1080p e 4K, foco automático, áudio de 16 W e Dolby Digital, tela de 120
Vendido por Amazon
TCL Projetor A1 GTV, licenciado oficialmente pela Netflix, projetor externo portátil com Wi-Fi e Bluetooth, suporte nativo 1080p e 4K, foco automático, áudio de 16 W e Dolby Digital, tela de 120
Por R$ 962,94
NTK - Mochila Edge Executiva Grande Expansível Impermeável para Escritório e Viagem - Reforço e Compartimento para Notebook até 16 Polegadas, Ideal para Trabalho e Estudo, Cinza
Vendido por Amazon
NTK - Mochila Edge Executiva Grande Expansível Impermeável para Escritório e Viagem - Reforço e Compartimento para Notebook até 16 Polegadas, Ideal para Trabalho e Estudo, Cinza
De: R$ 219,00
Por: R$ 204,10
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar
Vendido por Amazon
Estojo Escolar Organizador Box Grande Para Lapis Feminino Masculino Material Escolar
De: R$ 40,90
Por: R$ 33,90
JBL, Fone de Ouvido Bluetooth, Tune Buds 2, Intra Auricular, Sem Fio, Com Cancelamento de Ruído, Bateria de até 48h, Som JBL Pure Bass - Branco
Vendido por Amazon
JBL, Fone de Ouvido Bluetooth, Tune Buds 2, Intra Auricular, Sem Fio, Com Cancelamento de Ruído, Bateria de até 48h, Som JBL Pure Bass - Branco
De: R$ 599,00
Por: R$ 489,00
Anker 332 Hub USB-C [5 em 1, HDMI 4K, 2 Portas USB-A 5 Gbps], Compatível com MacBook Pro, MacBook Air, Dell XPS, Lenovo ThinkPad, HP e Mais
Vendido por Amazon
Anker 332 Hub USB-C [5 em 1, HDMI 4K, 2 Portas USB-A 5 Gbps], Compatível com MacBook Pro, MacBook Air, Dell XPS, Lenovo ThinkPad, HP e Mais
De: R$ 229,00
Por: R$ 169,00
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Vendido por Amazon
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
De: R$ 78,00
Por: R$ 74,10
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Vendido por Amazon
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
De: R$ 78,00
Por: R$ 74,10
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Vendido por Amazon
Caixa de Som Bluetooth, INAVA, Caixa de Som Portatil Com Graves Aprimorados e Som Surround 360°.
Por R$ 78,00
Wacom One Display Interativo 13 Polegadas Touch, Tela IPS Full HD, DTH134, Preto, para Educação, Escritório e Criação
Vendido por Amazon
Wacom One Display Interativo 13 Polegadas Touch, Tela IPS Full HD, DTH134, Preto, para Educação, Escritório e Criação
De: R$ 3.559,90
Por: R$ 1.435,96
KOSPET Tank T3 Ultra Smartwatch, 50M à prova de água, GPS, bússola, pressão do ar, altitude, aço inoxidável completo, chamada Bluetooth, ecrã AMOLED sempre activo de 1,43'', voz AI Banda de Metal
Vendido por Amazon
KOSPET Tank T3 Ultra Smartwatch, 50M à prova de água, GPS, bússola, pressão do ar, altitude, aço inoxidável completo, chamada Bluetooth, ecrã AMOLED sempre activo de 1,43'', voz AI Banda de Metal
De: R$ 899,99
Por: R$ 764,99
WAAW by ALOK Caixa de Som INFINITE 700 Bluetooth, Tipo Torre, Até 20h de Autonomia, 3 Alto-Falantes, TWS, 700W RMS
Vendido por Amazon
WAAW by ALOK Caixa de Som INFINITE 700 Bluetooth, Tipo Torre, Até 20h de Autonomia, 3 Alto-Falantes, TWS, 700W RMS
De: R$ 3.799,90
Por: R$ 3.369,83
Apple Watch SE 3 GPS, Caixa em alumínio luz das estrelas de 44 mm com Bracelete desportiva luz das estrelas - M/G
Vendido por Amazon
Apple Watch SE 3 GPS, Caixa em alumínio luz das estrelas de 44 mm com Bracelete desportiva luz das estrelas - M/G
De: R$ 3.699,00
Por: R$ 2.998,99
Apple Watch Series 11 GPS, Caixa em alumínio rosa‑dourado de 42 mm com Bracelete desportiva rosa leve - M/G
Vendido por Amazon
Apple Watch Series 11 GPS, Caixa em alumínio rosa‑dourado de 42 mm com Bracelete desportiva rosa leve - M/G
De: R$ 5.499,00
Por: R$ 4.599,00
eufy SoloCam S220 por anker, Câmera De Segurança Wi-Fi Externa, Solar Sem Fio Externa, 2K, Energia Contínua, Monitoramento inteligente de IA, Trabalha Com Alexa/HomeBase 3, Sem Taxa Mensal
Vendido por Amazon
eufy SoloCam S220 por anker, Câmera De Segurança Wi-Fi Externa, Solar Sem Fio Externa, 2K, Energia Contínua, Monitoramento inteligente de IA, Trabalha Com Alexa/HomeBase 3, Sem Taxa Mensal
De: R$ 549,00
Por: R$ 521,00
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
Vendido por Amazon
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
De: R$ 1.199,00
Por: R$ 899,00
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
Vendido por Amazon
Anker Laptop Power Bank, 25.000mAh Carregador Portátil para Notebook, 3-Portas 100W USB-C, Cabos Retráteis Integrados, Aprovado para Viagens Aéreas, Compatível com iPhone 17, Samsung e Mais
De: R$ 1.199,00
Por: R$ 999,00
Mouse sem fio Logitech Pebble 2 M350s com Clique Silencioso, Design Slim Ambidestro, Conexão Bluetooth e Pilha Inclusa - Rosa
Vendido por Amazon
Mouse sem fio Logitech Pebble 2 M350s com Clique Silencioso, Design Slim Ambidestro, Conexão Bluetooth e Pilha Inclusa - Rosa
De: R$ 123,90
Por: R$ 79,90
soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios
Vendido por Amazon
soundcore Select 4 Go da Anker, Alto-Falante Bluetooth Portátil, 20H de Bateria, IP67 à Prova d'Água e Poeira, Flutuante, Som Potente, Ideal para Ambientes Internos, Externos e Passeios
De: R$ 339,00
Por: R$ 199,00
Anker MagGo Power Bank, Bateria Magnética Ultra Fina de 10.000mAh, Certificação Qi2, Portátil, Carregador MagSafe Compatível de 15W Ultra Rápido, Compatível com iPhone 17/16/15, Samsung,Xiaomi e Mais
Vendido por Amazon
Anker MagGo Power Bank, Bateria Magnética Ultra Fina de 10.000mAh, Certificação Qi2, Portátil, Carregador MagSafe Compatível de 15W Ultra Rápido, Compatível com iPhone 17/16/15, Samsung,Xiaomi e Mais
De: R$ 499,00
Por: R$ 469,00
Apple 2025 iPad (Wi-Fi + Cellular, 128 GB) - Azul (A16)
Vendido por Amazon
Apple 2025 iPad (Wi-Fi + Cellular, 128 GB) - Azul (A16)
De: R$ 6.499,00
Por: R$ 5.219,10

Segundo pesquisadores da Malwarebytes, especializada em segurança digital, os operadores por trás da atividade visam servidores Windows voltados para a internet. “Eles usaram principalmente ataques de desserialização, para carregar uma plataforma de malware personalizada e completamente volátil, feita sob medida para o ambiente Windows IIS”.

O Windows IIS é um software de serviços da empresa americana incluído em todas as versões do sistema operacional, desde o Windows 2000, XP e Server 2003. A mensagem que aparece nas falsas páginas de erro de expiração de certificado sinalizam a detecção de um “potencial risco de segurança” e “não extensão de transição para [nome do site]”.

Falso aviso de certificado expirado
Reprodução/Malwarebytes

Em seguida, o falso aviso sugere que atualizar um certificado de segurança pode permitir que a conexão seja bem-sucedida. É mostrada a informação: NET::ERR_CERT_OUT_OF_DATE.

Acesso remoto via TeamViewer

Os pesquisadores de segurança apontaram que o malware entra na máquina da vítima por meio de um instalador de falsa atualização que a vítima usa ao receber o falso aviso. A carga útil que invade os sistemas infectados é o TVRAT (também conhecido como TVSPY, TeamSpy, TeamViewerENT ou TeamViewer RAT).

Este malware é projetado para fornecer a seus operadores nocivos acesso remoto total aos hosts infectados. Ele instala e inicia silenciosamente uma instância do software TeamViewer (um app legítimo para acesso remoto a sistemas, muito usado para trabalhos e estudos a distância).

Após ser iniciado, o servidor TeamViewer entra em contato com um servidor de comando e controle (C2), o que permite aos invasores saberem que podem assumir remotamente o controle total do computador da vítima.

Em informação mais recente, a Malwarebytes disse que o TeamViewer parece ter desativado a capacidade de ser instalado o TVRAT para ficar online e se conectar ao seu servidor C2.

O TVRAT apareceu pela primeira vez em 2013, quando foi entregue por meio de campanhas de spam como anexos maliciosos que enganavam os alvos para habilitar macros do Office.

Leia mais:

Microsoft corrigiu falha

Ao que tudo indica, o método usado pelos invasores para comprometer os servidores IIS ainda não é conhecido. Porém uma das maneiras que os invasores encontram para violar um servidor IIS do Windows é por meio da exploração de uma vulnerabilidade crítica wormable encontrada na pilha de protocolo HTTP (HTTP.sys), disponível publicamente desde maio.

A Microsoft corrigiu a falha de segurança (rastreada como CVE-2021-31166) durante a atualização de maio e disse que ela afeta apenas as versões 2004 e 20H2 do Windows 10 e as versões 2004 e 20H2 do Windows Server. Não houve registro de nenhuma atividade mal-intencionada abusando dessa falha em circulação desde então.

Possivelmente, a maioria dos alvos em potencial deve estar a salvo de ataques, já que os usuários domésticos do Windows 10 devem usar as versões mais recentes e atualizadas do sistema. Além disso, segundo especialistas, não é comum as empresas usarem as versões 2004 e 20H2 do Windows Server.

Windows ISS na mira dos criminosos

No entanto, outras falhas foram exploradas por cibercriminosos que tiveram como alvo os servidores Windows IIS, sendo um deles um grupo de ameaças persistentes avançadas (APT) rastreado como Praying Mantis (Louva-Deus) ou TG1021. É o que aponta um relatório recente da empresa de segurança israelense Sygnia.

Os atores do Praying Mantis usaram o acesso fornecido pelos servidores IIS hackeados para realizar tarefas maliciosas adicionais. Dentre elas, coleta de credenciais, além de reconhecimento e movimento lateral nas redes de seus alvos (quando um invasor usa contas não confidenciais para obter acesso a contas confidenciais em toda a rede).

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.

Imagem: solarseven/Shutterstock

Ronnie Mancuzo
Redator(a)
Ronnie Mancuzo no LinkedIn

Ronnie Mancuzo é analista de sistemas com especialização em cybercrime e cybersecurity | prevenção e investigação de crimes digitais. Faz parte do Olhar Digital desde 2020.

Redator(a)

Fábio Marton é redator(a) no Olhar Digital

Ícone tagsTags: