Ferramenta gratuita detecta spyware da NSA

Um “script” detectou implantações de código e cerca de 100 mil sistemas, sobretudo mais antigos, em todo o mundo, podem estar infectados.

belowzerodayLuke Jennings, da empresa de segurança, Countercept, disponibilizou uma ferramenta gratuita, capaz de detectar se um computador está infectado com spyware, que muitos investigadores consideram ser da National Security Agency (NSA) dos EUA.

Foi concebida para detectar implantações do malware “Doublepulsar”, instalado por muito do software de exploração de falhas no Windows, encontrado num conjunto revelado recentemente. Este código nocivo pode ser usado para carregar outro malware.

Apesar de gratuito, o “script” exige algumas capacidades de programação para uso. Mas está disponível para download no GitHub.

Alguns investigadores já usaram o “script” de Jennings para fazer um rastreio na Internet, à procura de máquinas infectadas com a implantações do Doublepulsar. Os resultados variaram muito, mostrando que entre 30 mil a 100 mil computadores têm o código instalado.

A BelowzeroDay, uma empresa de testes de penetração, publicou gráficos mostrando que países têm maior número de sistemas afectados. Os EUA estão no topo, com 11 mil máquinas e não surgem dados concretos sobre Portugal.

Os sistemas mais antigos como o Windows XP e Windows Server, especialmente aqueles a funcionarem sem firewall, são os mais vulneráveis.

Vários outros países, incluindo o Reino Unido, Taiwan e a Alemanha, têm mais de 1500 máquinas infectadas. Não é claro quando é que as máquinas foram infectadas, avisa Jennings.

Informações sobre as supostas ferramentas da NSA foram reveladas há cerca de uma semana e desde essa altura muitos hackers podem ter começado a usá-las. Vários especialistas em segurança estão preocupados com o facto de os cibercriminosos ou hackers patrocinados por Estados poderem usar as ferramentas e atacar máquinas vulneráveis pela Internet

Consideram que computadores com sistemas Windows mais antigos ou sem correcções emitidas por fabricantes estão particularmente em risco. A re-inicialização de um sistema removerá a implantação, mas não necessariamente qualquer malware associado a ele.

Os sistemas mais antigos como o Windows XP e Windows Server, especialmente aqueles a funcionarem sem firewall, são os mais vulneráveis. Milhares dessas máquinas parecem estar expostas.

Muita gente surpreendida

Jennings diz que desenvolveu seu “script” analisando a forma como o Doublepulsar comunica pela Internet com o seu servidor de controlo. No entanto, a sua intenção original era ajudar as empresas a identificarem implantações nas suas redes. E não para rastrear toda a Internet.

“Muitas pessoas estão a questionar se o script está correcto, porque ficaram surpreendidas com o número de sistemas infectados.” No entanto, ninguém apresentou evidências de que o script está errado, afirma Jennings e até tem havido confirmações de resultados positivos.




Deixe um comentário

O seu email não será publicado