O grupo de hackers TheWizards lançou uma campanha usando uma vulnerabilidade no SLAAC, uma das funções do protocolo de rede IPv6, que é usado ativamente por invasores para hackear os recursos de certas organizações e interceptar atualizações de software. A campanha foi descoberta por especialistas da ESET.
Fonte da imagem: Glen Carrie / unsplash.com
Durante o ataque, os invasores usam a ferramenta de software Spellbinder, que envia mensagens falsas de Anúncio de Roteador (RA) aos recursos de seus alvos. Ao receber essa mensagem, o dispositivo de destino percebe o servidor controlado pelo hacker como um roteador e roteia todo o seu tráfego por meio dele. O ataque é baseado na manipulação do processo de Autoconfiguração de Endereços Sem Estado (SLAAC), daí o nome “spoofing de SLAAC”.
Após ganhar controle sobre o tráfego, os hackers TheWizards usam o Spellbinder para interceptar solicitações de dispositivos para domínios com atualizações de software e redirecioná-los. Como resultado, as vítimas recebem atualizações com trojans, em particular, com o backdoor WizardNet. Os invasores usam acesso remoto aos dispositivos alvo, comunicam-se com eles por meio de soquetes TCP ou UDP criptografados e usam SessionKey com base em identificadores do sistema para criptografia AES. O WizardNet carrega e executa módulos .NET na memória, recupera dados do sistema, lista processos em execução e mantém a presença.
A campanha está ativa desde pelo menos 2022, dizem especialistas da ESET; Os alvos são indivíduos e organizações principalmente na China, Hong Kong, Camboja, Emirados Árabes Unidos e Filipinas. Há uma versão em que o servidor com atualizações falsas continua funcionando no momento. O Spellbinder monitora solicitações para domínios Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 e Baofeng. A única maneira de se proteger contra o ataque é monitorar o tráfego IPv6 ou desabilitar o protocolo se não for claramente necessário, disse a ESET.
Antes do lançamento do infame smartphone Trump Mobile T1, começaram a surgir relatos de vazamentos…
O estúdio francês Quantic Dream (Heavy Rain, Beyond: Two Souls, Detroit: Become Human) esclareceu o…
Os desenvolvedores do estúdio americano Unknown Worlds Entertainment (de propriedade da Krafton) publicaram uma carta…
Os desenvolvedores da Owlcat Games resumiram o primeiro mês de testes beta fechados do RPG…
Com a expansão do espaço digital, os cibercriminosos estão aprimorando seus métodos para atingir consumidores…
A AMD está prestes a apresentar a estação de trabalho compacta Ryzen AI Halo, com…