Característica de rede IPv6 é atacada por hackers para sequestrar atualizações de software
Hackers chineses encontraram uma vulnerabilidade para entregar atualizações de software contaminadas.
Ataque de hackers chineses compromete atualizações de software
Um novo relatório revelou que hackers chineses estão utilizando um ataque SLAAC para comprometer atualizações de software, visando organizações em regiões específicas. O ataque, denominado “SLAAC spoofing”, explora uma vulnerabilidade no processo de configuração automática de endereços (SLAAC) para manipular as atualizações de software.
O grupo de ameaças, conhecido como TheWizards, foi identificado como o responsável por essa campanha de ataques. Eles conseguiram enviar mensagens falsas de Roteador (RA) com o uso de uma ferramenta chamada Spellbinder, convencendo os dispositivos a pensar que o sistema do atacante é o roteador legítimo, redirecionando todo o tráfego de internet através do dispositivo infectado.
Os pesquisadores de segurança da ESET afirmam que o grupo TheWizards está alinhado com o governo chinês e tem como alvo principalmente organizações na China, Hong Kong, Filipinas e Emirados Árabes Unidos. A técnica utilizada pelo grupo pode resultar no download de versões adulteradas de atualizações de software, contendo um backdoor malicioso conhecido como WizardNet.
O malware WizardNet permite aos atacantes acesso remoto aos dispositivos infectados, sendo capaz de se comunicar por meio de sockets TCP ou UDP criptografados. Além disso, a ameaça tem a capacidade de carregar e executar módulos .NET na memória, extrair dados do sistema e manter a persistência no sistema comprometido.
Este novo método de ataque destaca a importância de manter atualizadas as medidas de segurança cibernética e de monitorar de perto as fontes de atualizações de software para proteger as organizações contra ameaças cibernéticas sofisticadas.
