Hackers usam bug do Windows para invadir computadores
Unsplash/Mika Baumeister
Hackers usam bug do Windows para invadir computadores

Um malware chamado Tarrask se aproveita de um bug do Windows para criar tarefas agendadas e mantê-las escondidas. Assim, ele pode se manter funcionando mesmo após reiniciar o sistema e ajudar outros códigos que deixam o computador vulnerável.

A descoberta foi feita pela Equipe de Detecção e Resposta da Microsoft (Dart, na sigla em inglês). O malware vem sendo usado pelo grupo de hackers Hafnium, que recebe apoio da China. O grupo já atacou empresas de defesa, think tanks e pesquisadores dos EUA.

"A Microsoft continua a rastrear o grupo Hafnium, que é patrocinado por um Estado e está no topo da nossa lista de prioridades. Novas atividades descobertas se aproveitam de vulnerabilidades de dia zero sem correção como vetores iniciais", diz o Dart. "A investigação revelou um malware de evasão de defesa chamado Tarrask que cria tarefas agendadas 'ocultas', e ações subsequentes para remover os atributos das tarefas, para escondê-las dos meios tradicionais de identificação".

Como o malware Tarrask funciona

As tarefas que o Tarrask cria se aproveitam de um bug do Windows. Elas não aparecem ao usar o "schtasks /query" nem o Agendador de Tarefas. Como? O malware deleta o valor do descritor de segurança delas do registro.

Portanto, só dá para encontrá-las ao procurar minuciosamente o Registro do Windows. É preciso verificar as tarefas agendadas sem um valor no descritor de segurança.

E o que essas tarefas fazem? Elas "limpam" rastros de outros malwares que comprometem a segurança do sistema. Assim, fica mais difícil detectar suas atividades.

O processo para removê-las é bastante complicado — a Microsoft tem um passo a passo para administradores de sistema em seu blog .

    Mais Recentes

      Comentários

      Clique aqui e deixe seu comentário!