Especialistas do time global de segurança da Kaspersky encontraram um novo backdoor, o Tomiris, com características muito similares ao malware Sunshuttle, utilizado pelos hackers da Nobellium na segunda etapa de um ataque cibernético multi-coordenado contra a empresa de gerenciamento de redes Solarwinds.

O ataque à Solarwinds ficou notório pela sua dimensão: no início de 2020, o grupo cibercriminoso russo invadiu os sistemas da empresa e injetaram código malicioso em um de seus produtos, o Orion. O software infectado foi distribuído para agências governamentais entre 24 países. Inúmeras empresas — dentre elas, 425 companhias da lista Fortune 500 também foram parte do alvo.

publicidade

As semelhanças do Tomiris com o Sunshuttle (conhecido por GoldMax) estão em elementos do código-fonte, já que são escritos na mesma linguagem de programação. Segundo a Kaspersky, até erros de idioma similares dão a entender que o código seja escrito por russos.

A parte prática dois dois é decididamente similar. Ambos são backdoors de dois estágios, que não agem assim que se infiltram nos alvos. No caso do Tomiris, ele consegue esperar até 9 minutos sem atividade, para burlar detecções imediatas. E ambos os programas “dormem” durante sua execução para evitar a geração de muito tráfego de informações, o que também levantaria suspeita dos antivírus.

Malware tem versões para infectar e roubar

No primeiro caso, o Tomiris se comporta como um backdoor de descarga de malwares. Ao infectar um computador, ele abre uma conexão com o servidor de Comando e Controle (C2) do criminoso, e passa a baixar outros programas maliciosos, ou operar códigos remotamente.

Os especialistas da Kaspersky também observaram que o Tomiris possui outra versão, dessa vez reconfigurada como um malware de roubo de arquivos. Esta variante vasculha todos os arquivos mais recentes em determinadas extensões (.doc, .docx, .pdf, .rar, e outras) e os envia pelo C2.

Até agora, a distribuição de ambas as versões foi detectada através de DNS hijacking, os redirecionamentos de endereço, e são usados em ataques programados. Os cibercriminosos redirecionam o tráfego de um servidor para uma página praticamente igual, porém, baixa o malware em supostas atualizações.

Imagem: peshkov/iStock

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!