Malware DEEPDATA aproveita falha não corrigida do Fortinet expondo credenciais de VPN à espionagem cibernética

Pesquisadores de segurança cibernética descobriram uma nova ameaça significativa visando o FortiClient VPN da Fortinet, destacando as capacidades alarmantes do malware conhecido como DEEPDATA. Este ataque sofisticado, atribuído ao grupo de ameaças BrazenBamboo, explora uma vulnerabilidade de dia zero para roubar credenciais VPN confidenciais, deixando empresas e indivíduos em risco elevado de espionagem e roubo de dados.

Como o DEEPDATA explora a vulnerabilidade do Fortinet

Divulgado pela empresa de segurança cibernética Volexity, o DEEPDATA aproveita uma vulnerabilidade até então desconhecida no FortiClient para Windows para coletar credenciais de VPN diretamente da memória. Essa falha, relatada à Fortinet em julho de 2024, permanece sem correção até o momento em que este artigo foi escrito. A vulnerabilidade não corrigida permite que invasores explorem o popular software VPN da Fortinet para obter acesso não autorizado a redes corporativas, potencialmente permitindo mais infiltração e roubo de dados.

No coração do DEEPDATA está um carregador de biblioteca de vínculo dinâmico (DLL), data.dll, que descriptografa e ativa 12 plugins maliciosos por meio de um módulo orquestrador chamado frame.dll. Um plugin, visando especificamente o FortiClient, extrai credenciais de VPN, garantindo aos invasores uma posição furtiva dentro de ambientes comprometidos.

DEEPDATA: Um novo nível de espionagem

Os recursos do DEEPDATA são parte de um kit de ferramentas mais amplo projetado pela BrazenBamboo, um grupo intimamente ligado ao ator de ameaças APT41 associado à China. O conjunto de malware expande estruturas anteriores como o LightSpy, uma plataforma de spyware versátil que tem como alvo macOS, iOS e Windows.

Os principais recursos do DEEPDATA e suas ferramentas relacionadas incluem :

  • Roubo de credenciais : captura credenciais de aplicativos de comunicação populares, como WhatsApp, Telegram, Signal e KeePass.
  • Exfiltração de dados : coleta detalhes do navegador da web, senhas de aplicativos, dados de pontos de acesso Wi-Fi e informações sobre software instalado.
  • Vigilância persistente : mantém acesso furtivo e de longo prazo aos dispositivos alvo para espionagem abrangente.

Este malware multifuncional destaca um foco meticuloso em plataformas de comunicação, com invasores priorizando furtividade e persistência para maximizar oportunidades de coleta de inteligência.

DEEPPOST e LightSpy: Ferramentas complementares para ataques avançados

O arsenal cibernético da BrazenBamboo não para no DEEPDATA. Sua ferramenta DEEPPOST facilita a exfiltração de dados, permitindo que invasores transfiram arquivos roubados para servidores remotos. Enquanto isso, a estrutura LightSpy, operacional desde 2022, demonstra modularidade avançada, empregando plug-ins especializados para:

  • Grave imagens da webcam.
  • Execute comandos por meio de um shell remoto.
  • Colete áudio, pressionamentos de tecla e dados do navegador.
  • Capture imagens de tela e faça o inventário do software instalado.

A arquitetura do LightSpy para variantes do Windows, implantadas por meio de um instalador personalizado, sugere que seu desenvolvimento é parte de um esforço sistemático e bem financiado para criar ferramentas de hacking personalizadas.

Implicações para a segurança cibernética e espionagem

A sobreposição em código e infraestrutura entre DEEPDATA e LightSpy sugere que essas famílias de malware podem ter origem em empresas privadas contratadas para desenvolver ferramentas para atores de estados-nação. Empresas como Chengdu 404 e I-Soon são os principais exemplos de organizações implicadas na criação de ferramentas cibernéticas ofensivas para uso governamental.

A descoberta do DEEPDATA destaca a tendência crescente de estruturas de malware modulares projetadas para capacidades multiplataforma. Essa abordagem permite que agentes de ameaças como o BrazenBamboo adaptem suas ferramentas para vários sistemas operacionais e ambientes, garantindo longevidade e eficácia operacional.

Medidas urgentes para proteção

Dado o risco contínuo representado pelo DEEPDATA e pela vulnerabilidade não corrigida da Fortinet, é crucial que organizações e usuários tomem medidas imediatas para mitigar possíveis danos:

  1. Monitore patches : fique atualizado sobre os patches de segurança da Fortinet e aplique-os assim que estiverem disponíveis.
  2. Aprimore o monitoramento de rede : implemente soluções robustas de detecção e resposta de endpoint (EDR) para identificar atividades incomuns.
  3. Realize auditorias de credenciais : altere regularmente as credenciais de VPN e monitore tentativas de acesso não autorizado.
  4. Redes de segmentos : limite o acesso a recursos críticos para minimizar o impacto de credenciais comprometidas.

O malware DEEPDATA ressalta os altos riscos de vulnerabilidades não resolvidas em softwares amplamente utilizados. À medida que agentes de ameaças como BrazenBamboo continuam a refinar suas ferramentas, as organizações devem permanecer vigilantes, empregando defesas em camadas e gerenciamento proativo de vulnerabilidades para combater ameaças cibernéticas avançadas.

O tempo está passando para resolver a falha da Fortinet — empresas e indivíduos devem agir rapidamente para proteger seus dados confidenciais e ativos digitais.

Por Zane
November 20, 2024
Malware
Portuguese
November 20, 2024
Malware

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.