Você já imaginou um ataque cibernético que se disfarça de aplicativo médico? Parece coisa de filme, mas é a realidade que a China nos apresenta com o “Silver Fox”. Esse grupo, apoiado pelo governo chinês, está usando softwares médicos legítimos como disfarce para infectar computadores de pacientes em hospitais. Prepare-se para descobrir como essa ameaça funciona e seus perigos!
O Ataque do Silver Fox: Uma Raposa Virtualmente Perigosa
Pesquisadores descobriram dezenas de amostras de malware se passando por softwares médicos legítimos, como visualizadores de imagens médicas da Philips. Esses programas maliciosos foram coletados entre julho de 2024 e janeiro de 2025.
Os arquivos maliciosos usavam comandos do PowerShell para escapar da detecção. Eles imitavam nomes de arquivos reais, como MediaViewerLauncher.exe (visualizador DICOM da Philips) e emedhtml.exe (EmEditor), além de drivers e utilitários do sistema.
Como o Ataque Funciona?
Ao invés de rodar o aplicativo médico esperado, esses arquivos disfarçados instalam o ValleyRAT , uma ferramenta de acesso remoto (RAT) usada pelo grupo Silver Fox. Esse RAT dá acesso total ao computador infectado para os cibercriminosos.
Além do ValleyRAT, o Silver Fox incluiu novas técnicas: um keylogger (que registra tudo o que você digita) e um minerador de criptomoedas (que utiliza o poder de processamento do seu computador para gerar criptomoedas para os atacantes).
Expansão da Ameaça
Embora o grupo geralmente vise vítimas que falam chinês, as novas amostras de malware incluem executáveis em inglês e foram encontradas nos Estados Unidos e Canadá. Isso sugere que o Silver Fox está expandindo seus ataques para novas regiões e setores.
Ainda não se sabe exatamente como o malware inicial se espalha, mas o Silver Fox já usou técnicas como envenenamento de SEO (busca orgânica) e campanhas de phishing (e-mails fraudulentos) no passado.
Etapas do Ataque
- O usuário baixa e executa o arquivo malicioso, acreditando ser um software médico legítimo.
- O malware usa utilitários do Windows (como
ping.exe,find.exe, etc.) para se comunicar com o servidor de comando e controle (C2), hospedado na Alibaba Cloud. - Comandos do PowerShell excluem alguns caminhos das varreduras do Windows Defender, para evitar detecção.
- O malware baixa payloads adicionais (incluindo o TrueSightKiller, que desativa softwares de segurança), e finalmente, o ValleyRAT.
- O ValleyRAT baixa mais payloads, incluindo o keylogger e o minerador de criptomoedas.
Apesar de o ataque focar pacientes e não hospitais diretamente, o risco para organizações de saúde é grande. Pacientes podem levar dispositivos infectados para hospitais, ou em programas de hospital em casa, onde a tecnologia do paciente é usada, permitindo que a infecção se espalhe.
Conclusão
O ataque do Silver Fox demonstra a sofisticação crescente de ameaças cibernéticas. A capacidade de se disfarçar de software médico legítimo torna esse ataque especialmente perigoso. A expansão para novas regiões e o uso de novas técnicas como keyloggers e mineradores de criptomoedas aumentam ainda mais a gravidade da ameaça. Fique atento e proteja seus dados!
Deixe seu comentário abaixo compartilhando suas experiências e preocupações sobre essa ameaça!
Fonte: Theregister
