Um novo malware está usando a API do Google Drive para controlar sistemas com Windows sem que o usuário perceba. A descoberta foi feita por especialistas da Elastic Security Labs.
- Trojan manipula posicionamento no Chrome simulando atividade real de usuários
- 80% dos e-mails promocionais que você recebe estão te rastreando
O relatório aponta que o ataque envolve um backdoor chamado NANOREMOTE, que consegue acessar o centro de comando da plataforma para realizar uma transferência de dados entre o dispositivo da vítima e o servidor dos criminosos por trás da ação.
Segundo os pesquisadores, o malware abre um tipo de canal para roubar informações dos alvos, enquanto inclui um armazenamento temporário de payloads para passar despercebido pelo sistema.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Além disso, o software malicioso usa um gerenciador de tarefas para transferir arquivos que automatiza a ação criminosa, possibilitando o enfileiramento, pausas e cancelamentos de downloads e uploads.
O que o malware faz
Os especialistas ainda não descobriram como o NANOREMOTE é distribuído, mas acredita-se que a campanha é impulsionada por um grupo chinês de ciberataques que tem como alvo governos, setores de defesa, telecomunicações, educação e aviação no sudeste asiático e na América do Sul desde 2023.
O que se sabe até o momento é que o backdoor possibilita o reconhecimento e execução de arquivos e comandos a partir da transferência de arquivos usando a API do Google Drive. Dessa maneira, os hackers conseguem tanto transferir arquivos para o sistema da vítima quanto retirar materiais de lá para mandá-los para os servidores criminosos.
Também foi observado que o malware vem preconfigurado para se comunicar com um endereço IP fixo e não roteável. Isso ocorre por meio do processamento de solicitações via HTTP, que faz o trabalho de envio dos pedidos e respostas pelo canal.
Com essas ferramentas em mãos, os hackers conseguem coletar qualquer informação do usuário, fazendo o que bem entender na plataforma, seja executar arquivos, limpar o cache, baixar e enviar materiais para o Drive e encerrar a si mesmo, por exemplo.
Leia também:
- Vírus inspirado em Duna apaga seus arquivos se não conseguir roubar dados
- Kit de phishing ameaça clientes de bancos com roubo de dados em tempo real
- Cuidado: Samsung Galaxy levará até 30 dias para corrigir falha perigosa
Leia a matéria no Canaltech.
