Threat Database Malware Malware Meteor Wiper

Malware Meteor Wiper

O Meteor Wiper, como o próprio nome sugere, é um malware wiper projetado para causar danos irreversíveis nos computadores infectados. Essas ameaças são implantadas quando o autor da ameaça não está atrás de nenhum ganho monetário. Em vez disso, o objetivo é causar o máximo de interrupção nas operações do alvo específico ou usar o ataque do wiper como uma distração para ocultar o verdadeiro objetivo dos hackers. O Meteor wiper é um malware até então desconhecido, que foi implantado como parte do ataque cibernético contra o sistema ferroviário iraniano.

A Descoberta do Meteor Wiper

A análise inicial do ataque não detectou traços da ameaça do wiper. O autor da ameaça por trás do hack ainda não foi determinado. Ainda assim, os cibercriminosos conseguiram violar o ministério dos transportes do Irã com sucesso e interromper o sistema de trem do país. Os atacantes fecharam o site oficial da agência e anunciaram sua realização exibindo uma mensagem sobre o ataque cibernético nos fóruns da ferrovia. Várias das mensagens exibidas também instavam os passageiros que desejam obter mais informações sobre o incidente a ligar para um número de telefone, que foi determinado como pertencente ao líder supremo do Irã, Ali Khamenei. Em segundo plano, o hack também resultou em vários dispositivos Windows sendo bloqueados atrás de uma tela de bloqueio que bloqueou o acesso aos sistemas.

O primeiro a descobrir que ameaças adicionais, tais como o Meteor Wiper também foram implantadas, foi a empresa iraniana de segurança cibernética Aman Pardaz. Um relatório do SentinelOne e do pesquisador Juan Andres Guerrero-Saade revelou informações mais profundas sobre a ameaça e vários novos componentes que foram descobertos.

A Cadeia de Ataques

Antes de implantar o Meteor Wiper, o agente da ameaça usou vários executáveis e arquivos em lote, que foram entregues a cada dispositivo comprometido e com a tarefa de preparar o ambiente local para as cargas finais. Primeiro, o sistema foi digitalizado em busca de produtos anti-malware específicos que, se detectados, foram encerrados posteriormente. Em seguida, o dispositivo de destino foi desconectado da rede. Para facilitar a operação tranquila das ameaças de malware, exclusões são adicionadas ao Windows Defender. Durante a próxima etapa, várias cargas de malware são extraídas. Depois de realizar várias tarefas adicionais, tais como limpar os logs de eventos do Windows e liberar o cache do sistema de arquivos para o disco, as cargas úteis finais são iniciadas. Isso inclui o Meteor Wiper entregue como um arquivo chamado 'env.exe' ou 'msapp.exe', um bloqueador MBR (Master Boot Record) e um bloqueador de tela.

Tendendo

Mais visto

Carregando...