Especialistas do time global de segurança da Kaspersky encontraram um novo backdoor, o Tomiris, com características muito similares ao malware Sunshuttle, utilizado pelos hackers da Nobellium na segunda etapa de um ataque cibernético multi-coordenado contra a empresa de gerenciamento de redes Solarwinds.
O ataque à Solarwinds ficou notório pela sua dimensão: no início de 2020, o grupo cibercriminoso russo invadiu os sistemas da empresa e injetaram código malicioso em um de seus produtos, o Orion. O software infectado foi distribuído para agências governamentais entre 24 países. Inúmeras empresas — dentre elas, 425 companhias da lista Fortune 500 também foram parte do alvo.
As semelhanças do Tomiris com o Sunshuttle (conhecido por GoldMax) estão em elementos do código-fonte, já que são escritos na mesma linguagem de programação. Segundo a Kaspersky, até erros de idioma similares dão a entender que o código seja escrito por russos.
A parte prática dois dois é decididamente similar. Ambos são backdoors de dois estágios, que não agem assim que se infiltram nos alvos. No caso do Tomiris, ele consegue esperar até 9 minutos sem atividade, para burlar detecções imediatas. E ambos os programas “dormem” durante sua execução para evitar a geração de muito tráfego de informações, o que também levantaria suspeita dos antivírus.
Malware tem versões para infectar e roubar
No primeiro caso, o Tomiris se comporta como um backdoor de descarga de malwares. Ao infectar um computador, ele abre uma conexão com o servidor de Comando e Controle (C2) do criminoso, e passa a baixar outros programas maliciosos, ou operar códigos remotamente.
Os especialistas da Kaspersky também observaram que o Tomiris possui outra versão, dessa vez reconfigurada como um malware de roubo de arquivos. Esta variante vasculha todos os arquivos mais recentes em determinadas extensões (.doc, .docx, .pdf, .rar, e outras) e os envia pelo C2.
Até agora, a distribuição de ambas as versões foi detectada através de DNS hijacking, os redirecionamentos de endereço, e são usados em ataques programados. Os cibercriminosos redirecionam o tráfego de um servidor para uma página praticamente igual, porém, baixa o malware em supostas atualizações.
Imagem: peshkov/iStock
Leia mais:
- Hackers da SolarWinds lançaram novo ataque, segundo a Microsoft
- SolarWinds: ex-CEO da empresa culpa estagiário por senha fraca
- SolarWinds: hackers também atacaram redes da Nasa e da FAA
Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!