Um novo backdoor desenvolvido em Python foi descoberto por pesquisadores de segurança, utilizando um serviço de túneis legítimo como ponte para extrair credenciais. O malware se propaga por meio de arquivos maliciosos e aplica técnicas de evasão para escapar de antivírus. Uma vez dentro, estabelece conexões criptografadas com um servidor C2, dificultando o bloqueio de seu tráfego. Seu objetivo é roubar senhas armazenadas em navegadores como Chrome e Firefox, além de acessos a plataformas cloud como AWS e Azure.
Túneis legítimos como cobertura para roubo de dados 🕳️
O backdoor emprega um serviço de túneis legítimo para mascarar seu tráfego de comando e controle, o que complica a detecção por parte de sistemas de segurança perimetral. Escrito em Python, utiliza bibliotecas padrão para interagir com o sistema operacional, extrair dados dos armazenamentos de senhas de navegadores e coletar credenciais de serviços cloud por meio de APIs. Seu design modular permite atualizar módulos de roubo sem modificar o núcleo do malware. Os pesquisadores apontam que sua capacidade de evasão inclui verificações de sandbox e atrasos na execução para evitar análises automatizadas.
Os cibercriminosos também sabem usar VPNs, mas para roubar 🦹
Parece que até os bandidos se modernizaram e agora usam túneis VPN como qualquer office boy que quer ver Netflix no trabalho. A diferença é que eles não buscam séries, mas sim suas senhas da AWS e Azure. O mais triste é que o serviço de túneis é completamente legal e legítimo, então nem podemos culpar a ferramenta. É como se um ladrão usasse um Uber para chegar na sua casa: o carro não tem culpa, mas a viagem continua sendo suspeita.