05/01/21 - 00:06:50

Novo Trojan Ataca o Windows e rouba Credenciais pelo Navegador

Um novo tipo de malware surgiu. Voltado especificamente para atacar sistemas Windows, ele rouba credenciais do Outlook pelo navegador e já é uma grande preocupação para os especialistas em segurança cibernética.

 

Uma nova ameaça para sistemas Windows

Analistas descobriram um novo trojan (cavalo de Tróia), capaz de roubar informações, desenvolvido especificamente para atacar processos do Outlook e coletar credenciais das vítimas por meio de navegadores. Identificado como PyMicropsia, ele é baseado na linguagem Python (daí o nome) e é bastante complexo. O AridViper é o grupo responsável pela criação deste novo tipo de trojan – e eles são especializados em atacar organizações no Oriente Médio.

De acordo com analistas da equipe de pesquisa da Unit42, o AridViper desenvolve várias ameaças cibernéticas com objetivo de atacar grupos diversos em ataques complexos. E ainda alertam que o PyMicropsia é um vírus que possui muitas seções que ainda não são usadas, indicando que, ao invés de ser um trojan isolado, pode ser uma família inteira de vírus ainda em estágio de desenvolvimento.

 

As capacidades do trojan

Entre as principais execuções do trojan, há a capacidade de fazer upload de arquivos, executar download de payload, roubar credenciais do navegador (além de limpar históricos de navegação e perfis) e até tirar screenshots e agir como keylogger.

Além disto, o vírus pode coletar uma série de informações e arquivos, apagar dados, fazer reboot nas máquinas, extrair informações do Outlook, pegar informações através de entradas de USB e até gravar áudio. É algo bem maior que um trojan, é um verdadeiro spyware.

 

Roubo de informações em arquivos OST

 

Para piorar, ele também é capaz de interferir ou anular processos do Outlook. Um arquivo OST, também conhecido como Offline Outlook Data File (“arquivo de dados offline do Outlook”.), é usado por contas da Microsoft em programas como Exchange e Outlook.com para armazenar uma cópia sincronizada das informações da sua caixa de entrada no seu computador local.

Os arquivos OST contém vários dados dos usuários, como mensagens de e-mail, informações de calendário, tarefas, informações sigilosas e outros conteúdos privativos. Então, os danos causados pelo PyMicropsia podem ser imensos.

 

Como o PyMicropsia age

 

O cavalo de Tróia PyMicropsia é um arquivo PyInstaller (um pacote Python que permite aplicativos em executáveis stand-alone). Depois de ser baixado pela vítima, o vírus instala sua principal funcionalidade por meio da execução de um loop, inicializando diferentes processos e tarefas de forma periódica com o propósito de coletar e roubar informações.

Então, ele usa tanto livrarias construídas com Python quanto com pacotes específicos para roubar as informações e dados, inclusive o PyAudio, que permite gravar e roubar áudios da vítima, além de um mss, que habilita o vírus a tirar prints da tela máquina infectada e enviar estas imagens para os criminosos.

O fato de este cavalo de Tróia ser construído com livrarias Python facilita a infecção em dispositivos com sistemas operacionais Windows, interferindo em processos de registro, redes, sistemas de arquivos e outras funções vitais.

 

Como se proteger

Como o PyMicropsia é um vírus que se instala como uma livraria Python, é importante tomar cuidado com arquivos desse gênero e saber muito bem de onde você baixa o conteúdo.

Além disto, é essencial tomar cuidado com mensagens e anexos (em e-mail, SMS ou mensagens em aplicativos diversos, além de redes sociais). Manter as atualizações de segurança sempre em dia, usar um bom firewall e um antivírus profissional também são passos fundamentais. Outra dica importante é usar uma boa VPN. Uma VPN profissional ajuda a criptografar sua conexão, melhorar o tráfego de dados dela e proteger sua rede e seu dispositivo contra malware e tentativas de phishing.

Apesar de ser bastante complexo, o PyMicropsia é voltado essencialmente para atacar empresas e grupos específicos. Mas isto não significa que ele não possa chegar a ser usado contra usuários comuns e todo cuidado é bem-vindo.