O grupo de espionagem MuddyWater foi detectado em uma campanha que compromete sistemas de governos, forças militares e telecomunicações em nove países do Oriente Médio, Ásia e Europa. A técnica empregada é o DLL side-loading, onde arquivos legítimos do Windows carregam bibliotecas maliciosas para roubar informações e manter acesso persistente. Recomenda-se monitorar inícios de processos não autorizados.
Como o DLL side-loading opera no ataque 🕵️
O MuddyWater explora binários assinados do Windows que carregam DLLs de forma insegura. Eles colocam uma DLL maliciosa com o nome esperado no diretório de execução, e o processo legítimo a carrega sem suspeita. Uma vez dentro, implantam ferramentas como ScreenConnect ou backdoors personalizados para exfiltrar dados. A persistência é alcançada por meio de tarefas agendadas ou modificações no registro. Os setores afetados incluem defesa e telecomunicações.
Windows: o cúmplice perfeito (sem querer) 🤦
Acontece que a própria ferramenta da Microsoft é a que abre a porta. Os atacantes não precisam de exploits complexos: apenas um executável assinado e uma DLL renomeada. É como se o porteiro do prédio deixasse você entrar porque está usando o uniforme correto, embora o crachá seja falso. Enquanto isso, as equipes de TI revisam logs procurando algo que não seja um processo normal do Windows. Ironias do sistema.