Serviço ajuda hackers a esconderem vírus de qualquer antivírus

Serviço de Packer-as-a-Service: Uma Nova Ameaça à Cibersegurança

A companhia de cibersegurança Sophos descobriu que diversos grupos de cibercriminosos estão utilizando a plataforma Shanya, que oferece um serviço de packer-as-a-service. Esse serviço permite que os hackers ofusquem o código malicioso de seus vírus, tornando-os capazes de escapar da detecção de antivírus e outras ferramentas de segurança.

Os vírus, especialmente os ransomwares, são projetados para desativar as soluções de detecção e resposta (EDR) do sistema das vítimas. A plataforma Shanya utiliza compressão e encriptação personalizadas para inserir código malicioso em cópias mapeadas em memória do arquivo DLL shell32.dll do Windows. Isso torna difícil a análise forense de segurança, pois o caminho do arquivo parece normal e o funcionamento ocorre diretamente na memória, sem acesso ao disco rígido.

Funções do Shanya

Compressão e encriptação personalizadas para ofuscar o código malicioso;
Verificação ativa pela presença de antivírus e EDR;
Causa falhas propositais se o vírus tenta rodar em um depurador ou se o arquivo chegar a rodar em um ambiente de teste.

Com essas funções, a plataforma Shanya é capaz de neutralizar a defesa do sistema antes do roubo e encriptação dos dados. Isso é feito pelo carregamento lateral de DLLs (side-loading), que combina executáveis legítimos do Windows com DLLs maliciosos. Além disso, dois drivers são baixados para o computador, incluindo uma versão legítima do ThrottleStop.sys com uma vulnerabilidade conhecida que permite escrever qualquer código na memória do kernel.

A Sophos também descobriu que a plataforma Shanya está sendo utilizada pela campanha ClickFix para distribuir o malware CastleRAT, de acesso remoto. Isso destaca a importância de manter a cibersegurança atualizada e de estar atento às novas ameaças que surgem a cada dia.

Este conteúdo pode conter links de compra.

Fonte: link