Versões modificadas de programas como o WinRAR, Winbox e Internet Download Manager estão sendo usadas para instalar spyware.
A campanha, atribuída ao grupo StrongPity, teve início no segundo semestre de 2018 e continua até hoje.
O principal objetivo do grupo, que também é conhecido como Promethium, é a espionagem das vítimas e o roubo de informações.
Versões modificadas de programas como WinRAR e Winbox instalam spyware
Pesquisadores do AT&T Alien Labs descobriram no início deste mês novas amostras de malwares atribuídas ao grupo StrongPity.
Estas amostras foram instaladas por uma versão modificada do software Winbox (análise da amostra aqui) para Windows. O Winbox é usado para gerenciar roteadores da marca MikroTik.
Normalmente as vítimas não notam algo errado no software modificado, já que ele funciona como a versão legítima.
Novas versões modificadas do WinRAR (análise da amostra aqui) e do Internet Download Manager (análise da amostra aqui) também estão sendo usadas para instalação de spyware do grupo StrongPity.
Abaixo é possível ver os assistentes de instalação das versões modificadas:
O malware instalado por estas versões modificadas procura por documentos e se comunica com um servidor de comando e controle usando uma conexão com SSL. Ele também possui recursos de acesso remoto, de acordo com o relatório publicado aqui pelos pesquisadores.
Outros programas usados no passado por este tipo de campanha incluem o CCleaner, Driver Boost, Opera, Skype e VLC Media Player. Já um relatório da Citizen Lab diz que os criminosos também usaram versões modificadas do antivírus Avast e do 7-Zip.
Fonte: BabooPro