Novas backdoors se disfarçam de produtos de segurança para teles

Da Redação
20/09/2023

Pesquisadores de segurança da Cisco Talos descobriram um novo conjunto de backdoors usado para comprometer operadoras de telecomunicações no Oriente Médio. As duas backdoors, denominadas HTTPSnoop e PipeSnoop, nunca foram identificadas antes, mas os pesquisadores avaliam que seus criadores têm um bom conhecimento do Windows. Os programas maliciosos também se disfarçam de componentes do Cortex XDR da Palo Alto Networks, um software cliente de segurança de endpoint.

Segundo os especialistas, a backdoor HTTPSnoop geralmente é implantada como uma DLL (Dynamic-link library), enganando um aplicativo legítimo para carregá-lo e atribuindo-lhe um nome e local específicos. Uma vez executada, ela usa APIs do Windows de baixo nível para acessar o dispositivo HTTP no kernel e começar a receber solicitações HTTP especialmente criadas.

Os pesquisadores do Talos encontraram várias versões dessa backdoor, com a única diferença sendo o ouvinte dos URLs (endereços web) — um ouvinte verifica as solicitações de conexão. Uma versão registrada como ouvinte de URLs HTTP que se assemelhavam às usadas pela API do Exchange Web Services (EWS) da Microsoft sugere que ela foi projetada para ser implantada em servidores Exchange comprometidos e que os invasores queriam ocultar as solicitações suspeitas entre o tráfego legítimo.

Outra versão de ouvinte dos URLs que se assemelhavam aos usadas por um aplicativo de gerenciamento de força de trabalho, agora chamado OfficeTrack, e o sistema LBS do OfficeCore indica que eles também eram alvos. Este último aplicativo é comercializado para operadoras de telecomunicações, disseram os pesquisadores da Talos, o que sugere que os invasores personalizam as backdoors para cada vítima com base no software que sabem que estão executando em seus servidores.

Veja isso
Botnet ataca servidores, instala backdoors e some sem deixar nenhuma pista no disco
Novas variantes de backdoor exploram falha no Barracuda ESG

“Os URLs HTTP também consistem em padrões que imitam serviços de provisionamento de uma operadora de telecomunicações israelense”, disseram os pesquisadores. “Essa empresa pode ter usado o OfficeTrack no passado ou atualmente usa esse aplicativo, com base em descobertas de código aberto. Alguns dos URLs usados na implantação do HTTPSnoop também estão relacionadas a de sistemas da empresa de telecomunicações.”

A backdoor HTTPSnoop e sua “irmã” PipeSnoop foram encontradas disfarçadas como um arquivo executável chamado CyveraConsole.exe, que normalmente pertence a um aplicativo que contém o agente Cortex XDR para Windows da Palo Alto Networks.

Compartilhar: