As tecnologias da Kaspersky Lab detectaram novamente uma vulnerabilidade desconhecida no Microsoft Windows. Ela estava sendo explorada por um grupo criminoso desconhecido na tentativa de obter o controle total sobre um dispositivo-alvo. O ataque visa o núcleo do sistema – seu kernel – por meio de um backdoor construído a partir de um elemento essencial do sistema operacional Windows.
Os backdoors são um tipo de malware extremamente perigosos, pois permitem que o criminoso controle as máquinas infectadas de forma discreta para fins maliciosos.
O contexto deste ataque foi o seguinte: uma vez que o arquivo malicioso foi executado, a instalação do malware teve início. Ela explorou uma vulnerabilidade de dia zero e obteve com sucesso privilégios para se manter na máquina da vítima.
Em seguida o malware ativou um backdoor desenvolvido com um elemento legítimo do Windows, um script presente em todas as máquinas Windows chamada de PowerShell.
Isso permitiu que o malware ficasse escondido e evitando sua detecção, sem falar na economia de tempo do criminoso que não precisou escrever o código para funções maliciosas. O malware então baixou outro backdoor a partir de um serviço popular e legítimo de armazenamento de texto, que por sua vez deu aos criminosos controle total sobre o sistema infectado.
A vulnerabilidade foi reportada para a Microsoft e corrigida no dia 10 de abril.
