Reaver

Por GoldSparrow em Malware

O Reaver é uma família de ameaças de malware que foram ligadas ao governo chinês e a grupos de hackers associados ao governo chinês. Os ataques do Reaver têm como alvo ativistas políticos na China e outros alvos típicos desse governo especificamente. O Reaver se destaca porque fornece uma carga útil que assume a forma de um módulo do Painel de Controle. Uma vez instalado, o Reaver pode monitorar o computador infectado e retransmitir informações sobre o dispositivo infectado para um servidor de Comando e Controle. O Reaver está ativo desde pelo menos 2013. O Reaver foi detectado e estudado em detalhes desde 2017 e foi usado recentemente em maio de 2019, como parte de ataques de espionagem de alto perfil.

Links e Variantes do Reaver

A família de malware Reaver foi vinculada ao malware SunOrcal, que foi observado desde 2010 com base em dados relacionados aos seus servidores de Comando e Controle. Novas variantes na família Reaver estão ativas desde pelo menos 2016, com pelo menos dez amostras únicas sendo observadas pelos pesquisadores de malware. Parece que o Reaver não está sendo usado de maneira generalizada e é usado apenas para ataques específicos de alto perfil. A carga útil do Reaver está contida em um arquivo CPL, que é um item do painel de controle no Windows. Essa é uma técnica muito rara que não foi vista na grande maioria das ameaças de malware.

Os Alvos Planejados do Reaver

É extremamente provável que o Reaver tenha sido implantado pelo governo chinês ou por grupos afiliados a este governo. Isso se deve às identidades dos principais alvos desses ataques. Os alvos do Reaver incluíram movimentos políticos que são percebidos como ameaçadores pelo governo chinês. Eles incluem uigures, tibetanos, praticantes do Falun Gong e aqueles que apóiam a independência de Taiwan. Ataques Reaver foram ligados a cabos diplomáticos, ligando ataques Reaver às atividades de espionagem em 2019.

As diferentes Versões do Reaver

Os pesquisadores de segurança do PC identificaram três versões do Reaver, v1, v2 e v3. A variante mais antiga do Reaver tentará habilitar o privilégio SeDebugPrivilege no computador infectado. Se não der certo, o Reaver v2 carregará um arquivo CPL corrompido no computador da vítima. A terceira versão do Reaver também tentará instalar esse arquivo CPL corrompido. O propósito final dos ataques do Reaver é obter informações sobre o dispositivo infectado. A seguir, algumas das informações que o Reaver coletará do dispositivo infectado:

Velocidade da cpu
Nome do computador
Nome de usuário
Endereço de IP
Versão do Microsoft Windows
Informações de memória física e virtual

Depois que o Reaver for instalado, o Reaver se conectará a um servidor remoto e fornecerá uma carga adicional, o que permitirá que o Reaver execute as seguintes tarefas no computador da vítima:

Obter informações da unidade
Ler arquivos
Gravar arquivos
Deletar arquivos
Mover arquivos
Processos de Spawn
Crie diretórios

Usando o Reaver, os atacantes podem instalar qualquer outro malware e coletar quaisquer dados no dispositivo infectado, tornando-se uma ferramenta eficaz para a espionagem. A ameaça Reaver também pode se excluir e executar as seguintes tarefas:

Obter informações da unidade
Modificar arquivos
Modifique diretórios
Modificar registro
Processo de desova
Terminar processo
Modificar serviços
Matar auto

Protegendo-se contra os Ataques do Reaver

É improvável que os usuários comuns de computador sejam afetados pelo Reaver, a menos que o código dessa ameaça vaze e ele comece a ser usado por outros grupos. Atualmente, os ataques do Reaver são limitados principalmente às agências governamentais chinesas e grupos afiliados. Por causa disso, os usuários de computador que têm ligações com grupos dissidentes considerados potencialmente ameaçadores pelo governo chinês são aconselhados a tomar medidas para garantir que os seus dispositivos sejam protegidos por fortes medidas de segurança e software.

Tendendo

Mais visto

Carregando...