Um malware chamado Tarrask se aproveita de um bug do Windows para criar tarefas agendadas e mantê-las escondidas. Assim, ele pode se manter funcionando mesmo após reiniciar o sistema e ajudar outros códigos que deixam o computador vulnerável.
A descoberta foi feita pela Equipe de Detecção e Resposta da Microsoft (Dart, na sigla em inglês). O malware vem sendo usado pelo grupo de hackers Hafnium, que recebe apoio da China. O grupo já atacou empresas de defesa, think tanks e pesquisadores dos EUA.
"A Microsoft continua a rastrear o grupo Hafnium, que é patrocinado por um Estado e está no topo da nossa lista de prioridades. Novas atividades descobertas se aproveitam de vulnerabilidades de dia zero sem correção como vetores iniciais", diz o Dart. "A investigação revelou um malware de evasão de defesa chamado Tarrask que cria tarefas agendadas 'ocultas', e ações subsequentes para remover os atributos das tarefas, para escondê-las dos meios tradicionais de identificação".
Como o malware Tarrask funciona
As tarefas que o Tarrask cria se aproveitam de um bug do Windows. Elas não aparecem ao usar o "schtasks /query" nem o Agendador de Tarefas. Como? O malware deleta o valor do descritor de segurança delas do registro.
Portanto, só dá para encontrá-las ao procurar minuciosamente o Registro do Windows. É preciso verificar as tarefas agendadas sem um valor no descritor de segurança.
E o que essas tarefas fazem? Elas "limpam" rastros de outros malwares que comprometem a segurança do sistema. Assim, fica mais difícil detectar suas atividades.
O processo para removê-las é bastante complicado — a Microsoft tem um passo a passo para administradores de sistema em seu blog .