{"id":18691,"date":"2021-12-22T17:34:04","date_gmt":"2021-12-22T20:34:04","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18691"},"modified":"2021-12-22T17:34:04","modified_gmt":"2021-12-22T20:34:04","slug":"pseudomanuscrypt-industrial-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/pseudomanuscrypt-industrial-malware\/18691\/","title":{"rendered":"Ataque fora do padr\u00e3o do PseudoManuscrypt"},"content":{"rendered":"

Em junho de 2021, nossos especialistas descobriram um novo malware chamado PseudoManuscrypt. Os m\u00e9todos do PseudoManuscrypt s\u00e3o relevativamente comuns quanto observa-se spywares. Ele funciona como um keylogger, re\u00fane informa\u00e7\u00f5es sobre conex\u00f5es VPN estabelecidas e senhas salvas, rouba o conte\u00fado da \u00e1rea de transfer\u00eancia, grava sons usando o microfone embutido (se o computador tiver um) e captura imagens. Outra vers\u00e3o tamb\u00e9m pode roubar as credenciais dos mensageiros QQ e WeChat, capturar o v\u00eddeo da tela e ter uma fun\u00e7\u00e3o que tenta desabilitar as solu\u00e7\u00f5es de seguran\u00e7a. Em seguida, ele envia os dados para o servidor do invasor.<\/p>\n

Para obter os detalhes t\u00e9cnicos do ataque e indicadores de comprometimento, consulte nosso relat\u00f3rio ICS CERT<\/a>.<\/p>\n

Origem do nome<\/h2>\n

Nossos especialistas encontraram algumas semelhan\u00e7as entre o novo ataque e a j\u00e1 conhecida campanha Manuscrypt, mas a an\u00e1lise revelou que um ator completamente diferente, o grupo APT41, havia usado parte do c\u00f3digo do malware em seus ataques. A responsabilidade pelo novo ataque ainda n\u00e3o foi atribu\u00edda e, por enquanto, o estamos chamando de PseudoManuscrypt.<\/p>\n

Como o PseudoManuscrypt infecta um sistema<\/h2>\n

A infec\u00e7\u00e3o bem-sucedida depende de uma cadeia de eventos bastante complexa. O ataque a um computador geralmente come\u00e7a quando o usu\u00e1rio baixa e executa um malware que imita o pacote de instala\u00e7\u00e3o pirata de um software popular.<\/p>\n

Voc\u00ea pode encontrar a armadilha do PseudoManuscrypt pesquisando na Internet por um software pirata. Os sites que distribuem c\u00f3digos maliciosos correspondentes a consultas populares t\u00eam uma classifica\u00e7\u00e3o elevada nos resultados de mecanismos de pesquisa, uma m\u00e9trica que os invasores parecem monitorar.<\/p>\n

Aqui voc\u00ea pode ver claramente os motivos pelos quais tantas tentativas de infectar sistemas industriais foram detectadas. Al\u00e9m de fornecer malware que se faz passar por software popular (como aplica\u00e7\u00f5es de escrit\u00f3rio, solu\u00e7\u00f5es de seguran\u00e7a, sistemas de navega\u00e7\u00e3o e 3D FPS), os invasores tamb\u00e9m oferecem pacotes de instala\u00e7\u00e3o falsos para softwares profissionais, incluindo certos utilit\u00e1rios para interagir com controladores l\u00f3gicos program\u00e1veis \u200b\u200b( PLC) usando o ModBus. Resultado: um n\u00famero expressivamente alto de computadores com sistema de controle industrial (ICS) infectados (7,2% do total).<\/p>\n

Resultados da pesquisa de software pirata. PseudoManuscrypt pode ser encontrado no primeiro link. <a href=\"https:\/\/ics-cert.kaspersky.ru\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\/\" target=\"_blank\">Fonte<\/a>

Resultados da pesquisa de software pirata. PseudoManuscrypt pode ser encontrado no primeiro link. Fonte<\/a><\/p><\/div>\n

\u00a0<\/p>\n

O exemplo na captura de tela acima apresenta um software para administradores de sistema e engenheiros de rede. Teoricamente, esse vetor de ataque poderia fornecer aos invasores acesso total \u00e0 infraestrutura da empresa.<\/p>\n

Os invasores tamb\u00e9m usam um mecanismo de entrega de Malware-as-a-Service (MaaS), pagando outros cibercriminosos para distribuir o PseudoManuscrypt. Essa pr\u00e1tica deu origem a um recurso interessante que nossos especialistas encontraram ao analisar a plataforma MaaS: \u00e0s vezes, o PseudoManuscrypt estava disfar\u00e7ado com outro malware que a v\u00edtima instalou como um \u00fanico pacote. O objetivo do PseudoManuscrypt \u00e9 espionar, mas outros programas maliciosos buscam outros objetivos, como a criptografia de dados para extors\u00e3o de dinheiro.<\/p>\n

Quem \u00e9 o alvo do PseudoManuscrypt?<\/h2>\n

O maior n\u00famero de detec\u00e7\u00f5es de PseudoManuscrypt ocorreu na R\u00fassia, \u00cdndia, Brasil, Vietn\u00e3 e Indon\u00e9sia. Do grande n\u00famero de tentativas de execu\u00e7\u00e3o de c\u00f3digo malicioso, os usu\u00e1rios em organiza\u00e7\u00f5es industriais representam uma parcela significativa. As v\u00edtimas neste setor incluem gerentes de sistemas de automa\u00e7\u00e3o predial, empresas de energia, fabricantes, empresas de constru\u00e7\u00e3o e at\u00e9 mesmo prestadores de servi\u00e7os para esta\u00e7\u00f5es de tratamento de \u00e1gua. Al\u00e9m disso, um n\u00famero excepcionalmente grande de computadores afetados estava envolvido em processos de engenharia e na produ\u00e7\u00e3o de novos produtos em empresas industriais.<\/p>\n

M\u00e9todos de defesa contra PseudoManuscrypt<\/h2>\n

Para prote\u00e7\u00e3o contra PseudoManuscrypt, voc\u00ea deve ter solu\u00e7\u00f5es de prote\u00e7\u00e3o confi\u00e1veis e regularmente atualizadas, e elas devem ser instaladas em 100% dos sistemas de uma empresa. Al\u00e9m disso, recomendamos instituir pol\u00edticas que dificultam a prote\u00e7\u00e3o contra a desativa\u00e7\u00e3o dessas solu\u00e7\u00f5es.<\/p>\n

Para sistemas de TI na ind\u00fastria, tamb\u00e9m oferecemos uma solu\u00e7\u00e3o especializada, o Kaspersky Industrial CyberSecurity<\/a>, que protege os computadores (incluindo os especializados) e monitora as transfer\u00eancias de dados que usam protocolos espec\u00edficos.<\/p>\n

Lembre-se tamb\u00e9m da import\u00e2ncia de aumentar a conscientiza\u00e7\u00e3o do pessoal sobre os riscos \u00e0 ciberseguran\u00e7a. Voc\u00ea n\u00e3o pode descartar totalmente a possibilidade de ataques de phishing inteligentes, mas pode ajudar a equipe a ficar alerta e tamb\u00e9m educ\u00e1-la sobre o perigo de instalar software n\u00e3o autorizado (e especialmente pirateado) em computadores com acesso a sistemas industriais.<\/p>\n","protected":false},"excerpt":{"rendered":"

Um ciberataque afetou um n\u00famero inesperadamente grande de sistemas de controle industrial.<\/p>\n","protected":false},"author":665,"featured_media":18694,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[1267,2868,253],"class_list":{"0":"post-18691","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-ciberseguranca-industrial","10":"tag-sistemas-industriais","11":"tag-spyware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pseudomanuscrypt-industrial-malware\/18691\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pseudomanuscrypt-industrial-malware\/23759\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/19258\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/25977\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pseudomanuscrypt-industrial-malware\/23955\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/23625\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pseudomanuscrypt-industrial-malware\/26596\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pseudomanuscrypt-industrial-malware\/26204\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pseudomanuscrypt-industrial-malware\/32108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pseudomanuscrypt-industrial-malware\/10384\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/43177\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pseudomanuscrypt-industrial-malware\/18302\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/pseudomanuscrypt-industrial-malware\/15630\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pseudomanuscrypt-industrial-malware\/27880\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pseudomanuscrypt-industrial-malware\/32236\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pseudomanuscrypt-industrial-malware\/27948\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pseudomanuscrypt-industrial-malware\/24697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pseudomanuscrypt-industrial-malware\/30119\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pseudomanuscrypt-industrial-malware\/29910\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ciberseguranca-industrial\/","name":"ciberseguran\u00e7a industrial"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18691","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18691"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18691\/revisions"}],"predecessor-version":[{"id":18695,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18691\/revisions\/18695"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/18694"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18691"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18691"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18691"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}