O Windows, no pódio dos sistemas operacionais mais populares do mundo, é constante alvo de ameaças por brechas de segurança encontradas por hackers. Ainda no início do mês, uma nova falha descoberta colocava o PC em risco ao executar arquivos do Microsoft Office.

Mais problemas relacionados à segurança do sistema operacional foram divulgados nesta semana — o Malwarebytes revelou que hackers estavam utilizando um falso aviso de certificado expirado do servidor IIS do Windows, levando os usuários a instalarem um software malicioso que permitia acesso remoto à plataforma afetada.

O IIS (sigla para “Internet Information Services”) é o software de servidor web utilizado no sistema operacional desde versões clássicas, como o Windows 2000 e Windows XP.

As páginas de erro maliciosas que exibem o falso aviso afirmam que “um potencial risco de segurança foi detectado e não estendeu a transição para o site”. Assim, agentes mal-intencionados persuadem as vítimas a baixarem um instalador ao alegar que “atualizar um certificado de segurança pode permitir que essa conexão tenha sucesso”.

O falso aviso ainda mostra um botão de “Atualizar” que inicia o download do instalador que, segundo os pesquisadores de segurança do Malwarebytes Threat Intelligence, infecta os sistemas operacionais com o TVRAT (ou TeamViewer RAT), um malware desenvolvido para fornecer acesso remoto às plataformas em que é instalado.

O servidor do TeamViewer se integra a um servidor de comando e controle (C&C ou C2) para indicar aos hackers responsáveis que a instalação ocorreu e já podem assumir total controle do computador.

A Microsoft solucionou este problema, registrado sob o código CVE-2021-31166, através do Patch Tuesday de maio de 2021, e adicionou que a falha atinge somente as versões 2004 e 20H2 do Windows 10 e Windows Server. Desde então, os relatos de invasão dessa natureza vem diminuindo.

Por outro lado, ataques similares ocorrem há muito tempo. Um dos exemplos mais recentes é um grupo de ameaça persistente avançada (APT) chamado “Praying Mantis”, que também utiliza os servidores web IIS da Microsoft, segundo a empresa de cibersegurança Sygnia.

“Os operadores por trás da atividade tinham como alvo servidores voltados para a internet do Windows, usando principalmente ataques de desserialização, para carregar uma plataforma de malware totalmente volátil e personalizada sob medida para o ambiente Windows IIS”, explicam os pesquisadores.