Microsoft detecta grupo de spyware usando bugs do Windows para atingir consumidores

o Centro de Inteligência de Ameaças da Microsoft (MSTIC) e o Centro de Respostas de Segurança da Microsoft (MSRC) descobriu que o desenvolvedor do spyware – oficialmente chamado DSIRF e codinome KNOTWEED — desenvolveu um spyware chamado ‘Abaixo de zero‘ que foi usado para atingir escritórios de advocacia, bancos e empresas de consultoria no Reino Unido, Áustria e Panamá.

O MSTIC encontrou vários links entre o DSIRF e as explorações e malwares usados ​​nesses ataques.

O último inclui a infraestrutura de comando e controle usada pelo malware que se vincula diretamente ao DSIRF; uma conta GitHub associada ao DSIRF sendo usada em um ataque; um certificado de assinatura de código emitido para a DSIRF sendo usado para assinar uma exploração; e outros relatórios de notícias de código aberto atribuindo Subzero ao DSIRF.

Esses mercenários cibernéticos vendem ferramentas ou serviços de hackers por meio de vários modelos de negócios.

Dois modelos comuns para esse tipo de ator são acesso como serviço e hack-for-hire.

No acesso como serviço, o ator vende ferramentas completas de hacking de ponta a ponta que podem ser usadas pelo comprador nas operações, com o ator ofensivo do setor privado (PSOA) não envolvido em qualquer direcionamento ou execução da operação.

No hack-for-hire, informações detalhadas são fornecidas pelo comprador ao ator, que então executa as operações direcionadas.

A Microsoft disse que KNOTWEED podem combinar esses modelos: eles vendem o malware Subzero para terceiros, mas também foram observados usando a infraestrutura associada ao KNOTWEED em alguns ataques, sugerindo um envolvimento mais direto.

“Os clientes são incentivados a acelerar a implantação das atualizações de segurança da Microsoft de julho de 2022 para proteger seus sistemas contra explorações”, aconselhou a empresa.

FacebookTwitterLinkedin