ESET descobre malware que assume o controle total da comunicação por e-mai

Malware chamado LightNeuron pode ler, bloquear e até mesmo escrever e-mails remotamente no siste

Compartilhar:

A ESET descobriu o LightNeuron, um backdoor do Microsoft Exchange que pode ler, modificar ou bloquear qualquer e-mail que passe pelo servidor, incluindo escrever novas mensagens e enviá-las ,sob a identidade de qualquer usuário legítimo da escolha dos invasores. O malware é controlado remotamente por meio de anexos em formato PDF e JPG ocultos em mensagens recebidas pelos usuarios.

O LightNeuron atende aos servidores de e-mail Microsoft Exchange pelo menos desde 2014. Os pesquisadores da ESET identificaram três organizações diferentes vítimas da ameaça, incluindo um ministério de relações exteriores em um país da Europa Oriental e uma organização diplomática regional no Oriente Médio. No Brasil, no entanto, não se tem conhecimento ainda de qual organização teria sido afetada

 

O LightNeuron é o primeiro malware conhecido a usar incorretamente o mecanismo do Microsoft Exchange. “Na arquitetura do servidor de e-mail, o LightNeuron pode operar com o mesmo nível de confiança que os produtos de segurança, como filtros de spam. Como resultado, esse malware oferece ao invasor controle total sobre o servidor de e-mail e, portanto, sobre toda a comunicação do usuário”, explica Matthieu Faou, pesquisador de malware da ESET que conduziu a investigação.

 

Os pesquisadores da ESET coletaram evidências sugerindo que o LightNeuron pertence ao grupo de espionagem Turla, também conhecido como Snake. Este grupo e suas atividades são amplamente investigados pela ESET. “Acreditamos que os profissionais de segurança de TI devem estar cientes dessa nova ameaça”, diz Faou.

 

Para fazer com que os e-mails de comando e controle (C&C) pareçam inocentes, o LightNeuron usa esteganografia para ocultar seus comandos em imagens PDF ou JPG válidas. A capacidade de controlar a comunicação por e-mail torna o LightNeuron uma ferramenta perfeita para vazar documentos e também para controlar outras máquinas locais por meio de um mecanismo de C&C, o que é muito difícil de detectar e bloquear.

 

Devido a melhorias de segurança em sistemas operacionais, os cibercriminosos precisam de persistência no uso de ferramentas que podem habitar o sistema de destino, encontrar documentos valiosos e desviá-los, tudo sem levantar suspeitas”, diz Faou.

 

Os pesquisadores da ESET alertam que a limpeza do LightNeuron a partir de uma rede não é uma tarefa fácil: a simples exclusão de arquivos maliciosos não funciona, já que isso poderia fazer o servidor de e-mail falhar. “Encorajamos os administradores de sistemas a ler o documento de pesquisa da ESET em sua totalidade antes de implementar um mecanismo de limpeza”, finaliza Faou.

A análise detalhada, que inclui a lista completa de indicadores de compromisso e amostras, pode ser encontrada no documento da pesquisa: Turla LightNeuron: One Email Away from Remote Code Execution.

 

 

Conteúdos Relacionados

Security Report | Overview

Serasa Experian assina acordo de aquisição da ClearSale

A transação ampliará a oferta de serviços com foco em segurança nas operações de clientes
Security Report | Overview

Eleições 2024: Cibercrime usa IA para aplicar golpes se passando por candidatos

Com a crescente sofisticação dos ataques baseados em IA, é crucial que as pessoas estejam atentas, saibam reconhecer e evitar...
Security Report | Overview

5.000 e-mails falsos imitando a Microsoft circulam nas redes, detecta laboratório

Pesquisadores da Check Point Software debruçaram-se na análise desses e-mails que podem levar ao controle de contas de e-mail, ataques...
Security Report | Overview

67% das empresas de Saúde sofreram ataques de ransomware em 2023

Relatório da Sophos revela que setor tem maior número de ataques em quatro anos. Quase 80% das empresas atacadas levaram...