Pesquisadores Acreditam que um Especialista em Vírus Chamado whg0001 está por Trás do Malware PlugX RAT

O PlugX é uma forma de malware que explora um processo ou aplicativo legítimo, acesso remoto e assistência fornecida pela equipe de TI que soluciona problemas ou realiza a manutenção do sistema. Um RAT (Ferramenta de Assistência Remota maliciosa) é usado pelos hackers para obter secretamente o controle remoto de um sistema infectado e executar o que o nível de usuário comprometido permitir, ou seja, editar o Registro, excluir arquivos, carregar ou baixar arquivos, etc., e até adicionar o sistema a uma botnet, para que os recursos possam ser usados para participar de uma greve de DNS.

Como você pode imaginar, o PlugX não é o único RAT (Ferramenta de Assistência Remota maliciosa) em estado selvagem. Rastrear as pegadas invisíveis que os fabricantes de malware e os cibercriminosos como um todo deixam para trás geralmente não leva aonde. Mas, graças a muito trabalho duro e horas intermináveis, Jaime Blasco, gerente de laboratório da AlienVault, uma empresa de segurança, não só conseguiu conectar o PlugX a um nome de usuário, mas também a face por trás dele. Blasco extraiu o caminho do arquivo de depuração de vários binários do PlugX e combinou-o com outras amostras do PlugX para descobrir pontos em comum, para iniciantes o nome de usuário 'whg'. As amostras indicaram que o autor usou sistemas separados para seu trabalho.

Blasco deu um passo adiante e procurou por arquivos binários adicionais, levando-o a um aplicativo chinês chamado SockMon, fornecido no cnasm (dot) com. Foi aqui que Blasco conectou 'whg0001' a alguém sendo identificado como especialista em vírus. O site chinês ofereceu um endereço de e-mail no qual Blasco costumava contestar o acusado, mas sem nenhuma resposta. Pesquisas adicionais descobriram 'whg001' como contato administrativo para outro site chinês em 2000, sob o nome de empresa Chinansl Technology Co., Ltd. Surpreendente é que essa empresa, Chinansl, tenha vínculos com o setor de segurança na China. Blasco encontrou um perfil CSDN de 'wgh0001' e conseguiu a foto e o nome de usuário em várias versões do PlugX, por isso é seguro dizer que esse especialista em vírus que usa a identidade 'whg001' é co-criador do RAT PlugX.

A maioria dos ataques maliciosos é realizada no escuro ou atrás de uma identidade anônima, como grupos de hacktivistas que muitas vezes estão associados à ética anti-autoridade. Os fabricantes de malware e os cibercriminosos se orgulham do anonimato. Então, por que Blasco conseguiu criar um peão de vírus famoso? Seria possível que ele descobrisse uma vulnerabilidade ou exploração de dia zero em como 'wgh0001' imprimia seus projetos maliciosos?

O cibercrime é uma indústria de bilhões de dólares alimentada principalmente pela ganância e continua a se desenrolar como um jogo de xadrez bem jogado. É metódico e de longo alcance, que exige resistência, além de uma mentalidade estratégica e tática. Quanto mais instruído você estiver sobre o uso de estratégias e malware, maiores serão suas chances de tomar as medidas certas para se defender contra ataques e proteger o que é seu por direito - seus dados, hardware e direito de usar a Internet sem violar.

Os cibercriminosos exploram a programação e práticas legítimas e estudam o comportamento humano (também conhecido como engenharia social) para aprender maneiras de atacar e enganar as vítimas (usuários de tecnologia). A melhor defesa é a colaboração da comunidade de segurança da Internet, desenvolvedores de software e hardware e você, o usuário final. Se trabalharmos juntos, podemos minimizar o potencial de ameaça e, no mínimo, mitigar o impacto. Os estudos mostram que a maioria dos ataques maliciosos ocorre nas mãos de vítimas que simplesmente clicam rápido demais nos links bloqueados antes de verificar a fonte da comunicação.

O proprietário de um site pode não perceber que seu site está comprometido e hospedar um Trojan Downloader, o que significa que você, o visitante, também ficará no escuro. Portanto, a única maneira de se proteger contra downloads drive-by em sites comprometidos é manter seu sistema protegido com uma solução antimalware furtiva que verifica e bloqueia downloads maliciosos. Atualmente, na era da evolução da tecnologia, combinada com intenções maliciosas, você simplesmente não pode se dar ao luxo de não participar da luta contra o cibercrime, bem, a menos que esteja pronto para desistir do que se tornou básico em nossas vidas: telefone celular, computadores, Internet , notebook digital etc. Enfrentem, o cibercrime é uma realidade e todos precisamos proteger e proteger melhor nossas propriedades intelectuais.