Contudo, a tecnologia de prevenção de exploit da Kaspersky Lab foi capaz de detetar a tentativa de aproveitar uma vulnerabilidade desconhecida do sistema operativo Windows da Microsoft. O cenário do ataque foi o seguinte: uma vez que o arquivo malicioso .exe foi executado, começou a instalação do malware. A infeção utilizou uma vulnerabilidade zero day e conseguiu fazer-se com privilégios para permanecer dentro da equipa da vítima. Utilizando um marco de scripting chamado Windows PowerShell, um elemento legítimo do Windows presente em todas as máquinas que utilizam este sistema operativo, o malware executou um backdoor. Isto permitiu aos hackers uma atuação silenciosa, bem como o evitar da deteção, ficando com tempo na etapa do código das ferramentas maliciosas. O malware, em continuação, descarregou outro backdoor a partir do conhecido serviço de armazenamento de texto, dando aos hackers o controlo total sobre o sistema infetado.

“No ataque pudemos observar duas tendências principais que por vezes vemos nas APT (Ameaças Persistentes Avançadas). Primeiro está o uso de expoits com privilégios locais para permanecer dentro da máquina da vítima. Segundo está o uso de elementos legítimos, como o Windows PowerShell, para levar a cabo atividades maliciosas dentro da máquina da vítima. A combinação de ambas dá aos hackers a capacidade de evitar as soluções de segurança standard. Para detetar este tipo de técnicas, a solução de segurança deve utilizar motores de prevenção de vulnerabilidades e de deteção de comportamentos,” explica Anton Ivanov, especialista de segurança na Kaspersky Lab.

As soluções da Kaspersky Lab detetam exploits como:

• HEUR:Exploit.Win32.Generic
• HEUR:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic

A Microsoft foi informada da vulnerabilidade e do parche a 10 de abril.

Para evitar a instalação de um backdoor através da vulnerabilidade zero day do Windows, a Kaspersky Lab recomenda tomar las seguintes medidas de segurança:

• Uma vez que a vulnerabilidade e o parche estejam descarregados, os hackers perdem a oportunidade de a utilizar. Instalar o parche disponível da Microsoft o quanto antes.
• Garantir que todo o software da organização é atualizado regularmente, sobretudo quando há um novo parche disponível. Os produtos de segurança que contam com funcionalidades de avaliação de ameaças e gestão de parches podem ajudar a automatizar estes processos.
• Utilizar uma solução de segurança aprovada, como o Kaspersky Endpoint Security, que dispõe de funcionalidades de deteção baseadas em comportamentos para haver uma proteção perante ameaças desconhecidas.
• Garantir que a equipa de segurança tem acesso à informação mais recente sobre ciber ameaças. Os clientes do Kaspersky Intelligence Reporting dispõem de acesso a relatórios privados sobre os últimos desenvolvimentos no panorama de ameaças. Mais informação em Este endereço de email está protegido contra piratas. Necessita ativar o JavaScript para o visualizar.
• Finalmente, garantir que a equipa está formada relativamente às medidas mais elementares no campo da cibersegurança.

Para mais informação sobre o novo exploit, leia o relatório completo em Securelist.

Para ver com maior detalhe as tecnologias que detetaram esta e outras vulnerabilidades de zero day no Microsoft Windows, pode descarregar o webinar gravado da Kaspersky Lab.