Recentemente, o Centro de Cibersegurança do Banco Nacional Ucraniano (CSIRT-NBU ) e a Equipa de Emergência de Computadores Ucraniana (CERT-UA) identificou uma série de ataques informáticos, perpetrados por um único utilizador, que utilizam linhas de código do famoso jogo Minesweeper (Campo Minado), da Microsoft, para esconder scripts maliciosos.
De acordo com o site Bleeping Computer, estes ataques têm escolhido como alvo várias instituições financeiras, tanto Europeias como Americanas, e o hacker já haverá conseguido cinco potenciais quebras nas defesas de algumas empresas Ocidentais.
Como Funcionam os ataques
Numa fase inicial, as empresas são abordadas via e-mail, e o hacker faz-se passar por um funcionário de um centro médico, que solicita ao utilizador da empresa que faça download de um ficheiro .SCR.
Este ficheiro, segundo o perpetror, é um ‘arquivo digital pessoal de documentos médicos’, no entanto, trata-se de um cavalo de troia que se esconde entre linhas de código inofensivas, pertencentes ao tão estimado Minesweeper. Juntamente com o código inócuo, são inseridas algumas linhas de código que fazem download de scripts de uma fonte remota denominada ‘anotepad.com’. Desta fonte, são transferidos os ficheiros necessários para construir parte dos elementos deste código que a string original não consegue traduzir.
Adicionalmente, o código contém uma função, ‘create_license_ver’, que é reaproveitada para descodificar e executar a string maliciosa. Desta forma, o software legítimo intercalado ajuda a mascarar e facilitar o ataque, passando despercebido por serviços de segurança, antivírus e firewalls.
A string, descodificada pela função, monta posteriormente um ficheiro ZIP que contém um installer MSI para uma aplicação com o nome “SuperOps RMM” - aplicação esta que, num cenário normal, é utilizada para controlo remoto legítimo, tal como outras aplicações como o Parsec ou o TeamViewer.
O que acontece depois de entrar no sistema
Neste caso, o SuperOps é usado para garantir ao hacker o controlo completo, ainda que desautorizado, do computador da empresa lesada.
A Equipa de Emergência de Computadores Ucraniana nota, adicionalmente, que organizações que não utilizem o serviço SuperOps RMM devem tratar a sua presença física ou em rede como um sinal de atividade maliciosa e, consequentemente, tomar as medidas preventivas necessárias.