Para coibir pragas digitais avançadas, Windows exige certificação de programas que necessitam de acesso especial. — Foto: Alfred Muller/Pixabay
A Microsoft está investigando como um programa malicioso passou pelo processo de certificação que deveria impedir o Windows de instalar pragas digitais com acesso privilegiado.
O caso envolve um software do tipo "driver" que era instalado para supostamente permitir trapaças em jogos on-line.
Mesmo depois de certificado, o "driver" ainda precisa ser instalado pelos invasores no computador, o que por si só exige um acesso privilegiado – ou seja, o certificado não deixa o Windows vulnerável a um novo ataque, mas pode agravar um ataque que seria mais superficial.
A Microsoft afirmou que o programa foi distribuído em canais ligados a games na China e que não há registro de ataques contra empresas.
Em outras palavras, as vítimas do ataque parecem ter sido principalmente jogadores chineses.
VÍDEO: Windows 11 - O que há de novo no sistema da Microsoft
O arquivo, chamado de "Netfilter", foi descoberto pelo analista de malware Karsten Hahn, da empresa de segurança digital alemã G Data.
Hahn publicou um relatório contando que o software foi investigado como um possível "alarme falso" do antivírus, já que uma praga digital não deveria ser certificada pela Microsoft. Contudo, a análise do código acabou revelando um programa espião.
Para convencer as vítimas a autorizar a instalação, o pacote era oferecido como uma ferramenta para games. O software seria capaz de adulterar a região do usuário para jogar títulos com restrições geográficas.
O que as vítimas não sabiam é que o programa também tinha funcionalidades para roubar dados e receber comandos de um sistema de controle.
A função básica do programa era redirecionar a navegação na web e, com isso, capturar todas as informações – inclusive as credenciais de acesso aos mesmos jogos que a vítima tentava acessar.
Nessa modalidade de fraude, as senhas são usadas para roubar ouro virtual e itens de jogo das vítimas.
Com a venda desses ativos digitais a outros jogadores por dinheiro real, as credenciais capturadas viram uma fonte de receita para os ladrões.
Sem reconhecer diretamente o engano, a Microsoft afirmou não acreditar que há envolvimento de um governo e que sua infraestrutura de certificação não foi violada por invasores. Na prática, isso significa que o software malicioso passou pela certificação como qualquer programa legítimo.
Entenda a certificação de driver
O "driver" é um software que recebe privilégios para interagir com o sistema operacional e com o hardware do computador. Fabricantes de periféricos normalmente precisam criar um driver para que o equipamento funcione.
Como esses códigos necessitam de permissões diferenciadas, a Microsoft exige que eles passem por um processo de certificação. Sem essa aprovação, o programa pode não funcionar e o usuário recebe um alerta ao tentar instalá-lo.
Download seguro: saiba como baixar programas legítimos
A instalação de um driver requer privilégios administrativos. Ou seja, o invasor já precisa ter conseguido acesso ao sistema ou, pelo menos, ter convencido o usuário a instalar um programa malicioso com permissão de administrador.
Mesmo assim, a instalação de um driver garante recursos poderosos a um programa malicioso. Em versões antigas do Windows, que não exigiam a autorização especial, pragas digitais usavam drivers para superar as barreiras de segurança, incluindo o antivírus.
Com a certificação obrigatória imposta pela Microsoft, esse tipo de ataque está quase extinto.
O "Netfilter" passou pela certificação da Microsoft e recebeu o carimbo de confiança da empresa. Ele foi enviado ao site "VirusTotal" pela primeira vez em março de 2021.
Apple também tem registro de software
Embora a Microsoft certifique drivers, a maioria dos programas executados no Windows não precisa passar por análise da empresa para funcionar.
Já a Apple começou a realizar um processo de homologação universal para os aplicativos do macOS – mesmo aqueles que não exigem qualquer privilégio. Códigos maliciosos também já foram aprovados nesse procedimento.
Apesar das semelhanças entre os processos das duas empresas, esse protocolo da Apple lembra mais um "registro" do que uma certificação. Esse registro permite que a Apple atue para bloquear os códigos maliciosos depois que eles são identificados.
Já os softwares privilegiados no sistema macOS também exigem que o desenvolvedor seja aprovado em um procedimento específico.
Como proteger seu WhatsApp de golpes
Golpes no Whatsapp: saiba como se proteger