Microsoft alerta para venda de spyware que usa falha no Windows e Adobe
A Microsoft divulgou um alerta de que identificou um grupo se valendo de vulnerabilidade no Windows e comercializando spyware que explora essa fragilidade. Os detalhes foram publicados em um post na quarta, 27/7, mesma data de um testemunho escrito da empresa ao Comitê de Inteligência da Câmara sobre spyware comercial e vigilância cibernética.
O desenvolvedor do spyware – oficialmente chamado DSIRF, mas que a Microsoft rastreia sob o codinome KNOTWEED – tornou o spyware conhecido como Subzero, que foi usado para atacar escritórios de advocacia, bancos e empresas de consultoria no Reino Unido, Áustria e Panamá, disse a Microsoft.
A análise descobriu que as explorações usadas pelo DSIRF para comprometer sistemas incluíam uma exploração de escalonamento de privilégios de dia zero para Windows e um ataque de execução remota de código do Adobe Reader. A Microsoft diz que o exploit que está sendo usado pelo DSIRF agora foi corrigido em uma atualização de segurança.
A DSIRF alega ajudar as corporações multinacionais a realizar análises de risco e coletar inteligência de negócios, mas a Microsoft (e outras reportagens locais) vincularam a empresa à venda de spyware usado para vigilância não autorizada.
A MS revela que encontrou vários links entre o DSIRF e as explorações e malwares usados nesses ataques. Isso inclui infraestrutura de comando e controle usada pelo malware que se vincula diretamente ao DSIRF, uma conta GitHub associada ao DSIRF sendo usada em um ataque, um certificado de assinatura de código emitido para o DSIRF sendo usado para assinar uma exploração e outros relatórios de notícias de código aberto atribuindo Subzero ao DSIRF.
“Há mais de uma década, começamos a ver empresas do setor privado se mudarem para esse espaço sofisticado de vigilância, à medida que nações autocráticas e governos menores buscavam as capacidades de suas contrapartes maiores e com melhores recursos”, diz o documento da empresa.
