Especialistas da empresa japonesa Trend Micro, especializada em questões de segurança cibernética, descobriram o programa malicioso SprySOCKS, usado para atacar máquinas que executam a família de sistemas Linux.
O novo malware vem do backdoor do Windows Trochilus, descoberto 2015 por pesquisadores da empresa Arbor Networks, ele é lançado e executado apenas na memória, e sua carga útil não é armazenada em discos, o que complica significativamente a detecção. Em junho deste ano, os pesquisadores da Trend Micro descobriram um arquivo chamado “libmonitor.so.2” em um servidor usado por um grupo cuja atividade eles monitoravam desde 2021. No banco de dados do VirusTotal, eles descobriram o arquivo executável associado “mkmon”, que ajudou a descriptografar “libmonitor.so.2” e revelar sua carga útil.
Descobriu-se que se trata de um programa malicioso complexo para Linux, cuja funcionalidade coincide parcialmente com as capacidades do Trochilus e possui uma implementação original do protocolo Socket Secure (SOCKS), por isso o malware recebeu o nome de SprySOCKS. Ele permite coletar informações sobre o sistema, iniciar uma interface de comando de gerenciamento remoto (shell), formar uma lista de conexões de rede, implantar um servidor proxy baseado no protocolo SOCKS para trocar dados entre o sistema comprometido e o servidor de comando do invasor, e realizar outras operações. Especificar as versões do malware sugere que ele ainda está em desenvolvimento.
Os pesquisadores sugerem que o SprySOCKS é usado por hackers do grupo Earth Lusca – ele foi descoberto pela primeira vez em 2021 e apareceu na lista de cibercriminosos um ano depois. O grupo usa métodos de engenharia social para infectar sistemas. SprySOCKS instala os pacotes Cobalt Strike e Winnti como cargas úteis. O primeiro é um kit para encontrar e explorar vulnerabilidades; a segunda, com mais de dez anos, contacta as autoridades chinesas. Há uma versão de que o grupo Earth Lusca, que trabalha principalmente com alvos asiáticos, pretende desviar fundos, porque muitas vezes as suas vítimas são empresas envolvidas em jogos de azar e criptomoedas.
Leia também:
- Microsoft foi acusado de "negligência flagrante" com a segurança cibernética
- Hackers desativaram um dos mais modernos observatórios astronômicos