Os pesquisadores da G Data descobrem: o malware Java copia senhas e também permite o controle remoto via RDP.
Um malware recém-descoberto desenvolvido em Java pode copiar dados de acesso, controlar remotamente o computador da vítima e executar outros comandos. O componente ransomware integrado ainda não está totalmente funcional.
Analistas do G DATA CyberDefense alertam para novos malwares desenvolvidos em Java. Se o malware estiver ativo em um sistema, os criminosos podem ler senhas de navegadores e programas de e-mail. Além disso, como o malware possui um recurso de acesso remoto (RAT), um invasor pode assumir remotamente o controle do sistema infectado. O Remote Desktop Protocol (RDP) é usado para isso – uma versão modificada da ferramenta “rdpwrap” (https://github.com/stascorp/rdpwrap) é baixado em segundo plano. O acesso RDP oculto é possível na versão modificada.
Além disso, o malware tem um – ainda – componente rudimentar de ransomware. Até agora, no entanto, nenhuma criptografia ocorreu aqui, apenas uma renomeação dos arquivos. Como o malware costuma ser constantemente desenvolvido, isso pode mudar em versões futuras.
Inesperado: novo malware Java
"O malware atual é incomum, não vemos nenhum novo malware Java há muito tempo", diz Karsten Hahn, analista de vírus da G DATA. “Com o malware que analisamos, já estamos vendo tentativas de infecções em nossos clientes”.
Com a atual rota de infecção, o malware não pode ser executado sem o Java. Pode-se supor que quem escreveu o software experimentou. No entanto, já existe um recurso que baixa e instala o Java Runtime Environment pouco antes de ser infectado pelo malware Java. Qualquer pessoa que já tenha uma versão do Java Runtime Environment (JRE) instalada em seu computador está vulnerável a uma infecção.
O acesso RDP é tradicionalmente um meio popular para criminosos obterem acesso a sistemas em redes corporativas. As empresas, por sua vez, usam o acesso RDP para trabalhos de manutenção e, às vezes, para trabalhos remotos. Dentro de uma rede corporativa, portanto, deve-se ter o cuidado de acompanhar de perto o tráfego RDP para detectar qualquer anormalidade imediatamente. Mais detalhes técnicos e gráficos podem ser encontrados no artigo do Techblog em inglês nosso analista Karsten Hahn.
Mais sobre isso em GData.de