Hackers chineses estão se passando pelo antivírus McAfee para fazer vítimas instalarem malware, diz Google
Os hackers se passam pelo provedor de antivírus McAfee e usam serviços online legítimos como GitHub e Dropbox para enganar as vítimas.
Os mesmos hackers ligados ao governo chinês que visaram as campanhas dos dois candidatos presidenciais norte-americanos de 2020 têm tentado enganar os usuários para que instalem malware, fingindo ser o provedor de antivírus McAfee e usando serviços online legítimos como GitHub e Dropbox.
Shane Huntley, Chefe do Grupo de Análise de Ameaças do Google, forneceu novos detalhes sobre os suspeitos cibernéticos patrocinados pelo governo, conhecidos como APT 31, e suas últimas táticas em uma na sexta-feira (16). Em junho, a equipe de segurança do Google descobriu golpes de phishing de alto perfil do APT 31 e hackers patrocinados pelo Estado iraniano que pretendiam sequestrar contas de e-mail de funcionários de campanha do presidente Donald Trump e o indicado democrata Joe Biden. (Todas essas tentativas de phishing pareciam ter falhado, disse o Google na época.)
Na sexta-feira, Huntley disse que uma das técnicas mais recente do APT 31 envolveu o envio de links por e-mail para que as vítimas baixassem códigos maliciosos hospedados na plataforma de código aberto GitHub. O malware foi construído usando a linguagem de computação Python e “permitiria ao invasor fazer upload e download de arquivos, bem como executar comandos arbitrários” por meio dos serviços de armazenamento em nuvem do Dropbox, escreveu ele.
“Cada parte mal-intencionada desse ataque foi hospedada em serviços legítimos, tornando mais difícil para os defensores confiarem nos sinais de rede para detecção”, disse Huntley.
Outro esquema de phishing envolveu o grupo se passando pelo McAfee, um legítimo e popular provedor de software antivírus, como uma fachada para inserir silenciosamente um código malicioso no computador da vítima.
“As vítimas eram solicitadas a instalar uma versão legítima do software antivírus McAfee do GitHub, enquanto o malware era simultaneamente instalado silenciosamente no sistema”.
O Google não especificou quais organizações ou indivíduos foram visados nesses últimos ataques patrocinados pelo APT 31 ou se eles afetaram a campanha política de qualquer um dos candidatos. A gigante da tecnologia apenas disse que viu “uma atenção maior sobre as ameaças representadas pelas APTs no contexto das eleições nos Estados Unidos” e compartilhou essas últimas descobertas com o Federal Bureau of Investigation (FBI).
“As agências governamentais dos Estados Unidos alertaram sobre os diferentes atores que possam representar uma ameaça e trabalhamos em estreita colaboração com essas agências e outros na indústria de tecnologia para compartilhar pistas e inteligência sobre o que estamos vendo em todo o ecossistema”, disse Huntley.
Ele acrescentou que, caso as defesas anti-phishing do Google detectem um ataque apoiado pelo governo, a empresa envia um aviso à vítima explicando que um governo estrangeiro pode estar de olho nela.
O Google não é o único gigante da tecnologia vendo um aumento nos ataques cibernéticos antes das eleições. Em setembro, a Microsoft informou que hackers apoiados pelos governos chinês, russo e iraniano haviam em indivíduos de alto perfil associados a ambas as campanhas Trump e Biden. Na semana passada, o FBI e a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA também sobre campanhas de hackers ligados a governos estrangeiros para explorar redes de governos federais, estaduais e locais.