Digital Inside

28 mai 2025 12:30

Tecnologia

Destaques de Digital Inside

Digital Inside · Tecnologia · 30 mai 2025 08:06

Presidente da ACEPI leva visão do futuro do e-commerce português ao DES2025 em Málaga
Digital Inside · Tecnologia · 30 mai 2025 07:05

Infinigate Iberia amplia a sua oferta em Portugal
Digital Inside · Tecnologia · 30 mai 2025 06:45

Coffee Break com Nuno Saramago, SAP: a multinacional alemã que exporta talento e inovação a partir de Lisboa

Ver mais notícias

Quando a confiança se torna uma ferramenta dos cibercriminosos

Usar o nome de uma aplicação conhecido é um truque não muito sofisticado, mas suficientemente eficaz. Para combatê-lo, nada melhor do que obter aplicação apenas de fontes confiáveis.

Em fevereiro deste ano, a equipa de Resposta a Incidentes da WithSecure foi chamada por um fornecedor europeu de serviços de TI após um ataque de ransomware que bloqueou vários servidores VMware ESXi. Durante a análise, os especialistas encontraram um carregador (loader) de malware inédito integrado numa cópia aparentemente legítima do KeePass, um gestor de palavras-passe de código aberto muito popular.

Batizado de KeeLoader, o instalador alterado funcionava normalmente, mas também exibia um beacon do grupo de cibercriminosos Cobalt Strike, que exportava em texto simples as bases de dados de senhas.

A investigação seguiu as pistas até reconstruir uma campanha que se prolongou por vários meses, deduzindo que os atacantes recompilaram o KeePass com certificados de confiança e promoveram o instalador malicioso por meio de anúncios no Bing que redirecionavam para sites falsos. Desta forma, enganaram administradores e utilizadores avançados que procuravam descarregar a versão mais recente do popular gestor de palavras-passe, uma ferramenta que, de outra forma, é totalmente fiável.

Uma vez executado, o KeeLoader mantinha todas as funções habituais do KeePass, o que dificultava a sua deteção imediata. No entanto, em segundo plano, contactava o centro de controlo do Cobalt Strike e transferia a base de dados de palavras-passe corporativas, incluindo contas de domínio, chaves vSphere e credenciais de cópias de segurança.

Das palavras-passe ao hipervisor: o percurso da intrusão

Com as senhas em seu poder, os invasores agiram rapidamente, escalando privilégios, desativando a autenticação multifator e implantando a carga de ransomware diretamente nos hipervisores ESXi, sem precisar tocar nas máquinas virtuais hospedadas. O resultado foi uma criptografia simultânea e em grande escala dos armazenamentos de dados, que interrompeu os serviços do provedor.

Os especialistas da Sectigo classificam a operação como um exemplo de ataque baseado em identidade: ao transformar um gestor de palavras-passe fiável numa ferramenta de exfiltração, os atacantes anularam os controlos de perímetro e desativaram as cópias de segurança da Veeam.

A Apono sublinha que a combinação de credenciais não geridas e contas com privilégios excessivos continua a ser um facilitador fundamental das campanhas de ransomware modernas.

O caso coloca em evidência os riscos decorrentes do download de software de fontes não verificadas. Entre as medidas que podemos recomendar, destacam-se o download exclusivo de repositórios oficiais, o reforço com soluções EDR e PAM e a adoção de arquiteturas zero trust e zero-knowledge quando credenciais sensíveis estão envolvidas.

Para os responsáveis de TI, os administradores de sistemas ou CISO, devem ter em conta que a cadeia de confiança do software merece a mesma atenção que a gestão de identidades, pois um único instalador fraudulento é suficiente para derrubar as barreiras defensivas e transformar um ativo essencial — o gestor de senhas — em um instrumento de ataque.