0
0
Hackers tiraram proveito de uma vulnerabilidade do Apple Software Update, instalado junto do iTunes e iCloud, para disseminar um vírus de resgate chamado BitPaymer em sistemas Windows na rede de uma empresa norte-americana do setor automotivo, que não teve o nome revelado.
O ataque foi estudado pela empresa de segurança Morphisec, que identificou que a falha existia pela falta de uso de aspas no programa de atualização.
O incidente ocorreu em agosto, mas foi divulgado só agora, após a Apple lançar uma atualização que corrige a vulnerabilidade e previne novos ataques.
A falha não permite que um hacker acesse diretamente um computador com iTunes ou iCloud, mas deixa o sistema exposto a ataques quando conectado a uma rede que pode ter outros computadores contaminados.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/t/c/KBYHC2SEAcnPoY3JBSMA/asu.jpg)
Apple Software Update é responsável por baixar atualizações dos programas da Apple, como iTunes e iCloud. — Foto: Reprodução
Mesmo assim, a brecha teve um papel relevante nos ataques, pois os hackers conseguiram enganar o programa da Apple para iniciar o vírus durante os procedimentos que normalmente verificariam a existência de uma atualização. Isso camuflou o método de propagação do vírus.
A técnica também confundiu alguns programas de segurança. Pragas digitais desconhecidas podem ser barradas por meio da análise de comportamento, que identifica atividades suspeitas. Mas quando um arquivo é carregado programas confiáveis (como é o caso do mecanismo de atualização da Apple), as atividades podem ser ignoradas por conta do risco de alarmes falsos.
Após ser ativado, o BitPaymer criptografa os arquivos do sistema e cobra o pagamento de um resgate pela recuperação dos dados, como é característico dos vírus de resgate.
Erro aconteceu por falta do uso de aspas
A brecha foi explorada na versão mais recente do software da Apple disponível à época do ataque, mas a falha em si — que ocorre pela falta do uso de aspas na programação — é conhecida há mais de 15 anos e já apareceu em muitos outros aplicativos.
O erro resulta de uma ambiguidade em nomes de arquivos com espaços em seu nome ou nas pastas.
Ao ser carregado pelo Windows, um programa pode ser iniciado com argumentos, ou comandos, que são especificados com um espaço após o nome do arquivo.
Sem aspas para delimitar o nome do arquivo, o Windows não tem como saber o que é nome e o que é comando quando se depara com um espaço.
Por exemplo, o caminho “C:\Arquivos de Programas”, quando lido com as aspas, indica uma pasta ou arquivo chamado “Arquivos de Programas” na unidade “C:”, sem nenhuma ambiguidade. Mas, sem aspas, ele pode estar indicando um programa chamado “C:\Arquivos” (ou até “C:\Arquivos.exe”) que seria iniciado com o comando “de Programas”.
/i.s3.glbimg.com/v1/AUTH_59edd422c0c84a879bd37670ae4f538a/internal_photos/bs/2019/8/x/uq1dExT6iwPA348MIOOg/atalho.jpg)
Em atalhos do Windows, caminhos de arquivos devem ser escritos com aspas no começo e no fim para evitar ambiguidades. — Foto: Reprodução
Para não gerar mensagens de erro, o Windows muitas vezes tenta encontrar o arquivo que seria especificado com e sem aspas. Ou seja, quando o arquivo que seria carregado sem aspas não existe, o Windows procura o arquivo com aspas.
Dessa maneira, muitos programas funcionam corretamente apesar da ausência indevida das aspas. Mas existe o risco de um hacker plantar um arquivo em uma pasta específica, fazendo com que ele seja carregado indevidamente durante uma rotina, e foi isso que aconteceu com o software da Apple.
Apesar de serem bem conhecidas, a exploração desse tipo de falha no mundo real é rara, como observa a Morphisec. Em muitos casos, um hacker não sabe se sua vítima terá algum programa vulnerável instalado. No entanto, nesse caso, os hackers planejaram e executaram um ataque moldado conforme os programas usados nos sistemas da rede da vítima.
BitPaymer
O vírus BitPaymer é conhecido desde 2017, quando foi usado para atacar hospitais na Escócia.
A Morphisec acompanha as ações do vírus BitPaymer há algum tempo. De acordo com a empresa, os hackers enviam e-mails para as vítimas para conseguir estabelecer um ponto de acesso inicial na rede.
Em seguida, os hackers mapeiam os sistemas da empresa e tentam aprofundar seu alcance na rede, obtendo credenciais senhas de funcionários e administradores. O vírus de resgate em si é normalmente acionado nos fins de semana, em especial no sábado, para que o vírus tenha tempo de fazer o maior estrago possível.
Entre as vítimas recentes dos hackers estão 15 empresas norte-americanas atuantes nas áreas das finanças, da agricultura e da tecnologia, segundo a Morphisec.