Pesquisadores da ESET, empresa líder em detecção proativa de ameaças, descobriram uma nova versão de uma das famílias de malware mais antigas do grupo Turla: o backdoor ComRAT. Turla, também conhecido como Snake, é um grupo de espionagem cibernética que atua há mais de dez anos.
A característica mais marcante do novo backdoor do Turla é que ele usa a interface do usuário do Gmail para receber comandos e extrair informações. O ComRAT rouba documentos confidenciais e, desde 2017, atacou pelo menos três entidades governamentais. A ESET encontrou indicações de que a versão mais recente do ComRAT ainda estava em uso no início do ano, demonstrando que o grupo de cibercriminosos permanece ativo e representa uma ameaça, especialmente para militares e diplomatas.
Como funciona
O objetivo principal do ComRAT é roubar documentos confidenciais. Em um caso, seus operadores implantaram um executável .NET para interagir com o banco de dados primário do MS SQL Server da vítima, que continha documentos da organização. Os operadores desse malware usavam serviços de nuvem pública, como o OneDrive ou o 4shared, para extrair os dados. A versão mais recente do backdoor do Turla também pode executar outras ações em computadores comprometidos, como executar programas ou extrair arquivos.
O fato de que criminosos cibernéticos estão tentando fugir de softwares de segurança é preocupante. "Isso mostra o nível de sofisticação do grupo e sua intenção de permanecer em máquinas infectadas por um longo tempo", explica Matthieu Faou, responsável por pesquisas sobre o grupo Turla há anos. "Além disso, a versão mais recente do ComRAT, graças ao uso da interface da web do Gmail, é capaz de superar alguns dos controles de segurança, pois não está hospedado em um domínio malicioso", acrescenta Faou.
Velho conhecido
A ESET descobriu a atualização de backdoor em 2017. O malware usa uma base de código completamente nova e é muito mais complexa do que seus antecessores. Os pesquisadores da ESET encontraram a interação backdoor mais recente compilada em novembro de 2019.
"Com base no tipo de vítimas e em outras amostras de malware encontradas nas mesmas máquinas comprometidas, acreditamos que a Turla é o único grupo que usa o ComRAT", diz Faou.
O ComRAT também é conhecido como Agent.BTZ, um backdoor malicioso que se tornou popular após ser usado contra o Exército dos EUA em 2008. A primeira versão deste malware, provavelmente lançada em 2007, mostrava recursos de worms de computador e era distribuída via unidades removíveis.
Para saber mais sobre segurança cibernética, entre no portal de notícias da ESET, o WeLiveSecurity: http://www.welivesecurity.com/br/
Para te ajudar a ficar em casa
Além disso, no contexto de isolamento por Covid-19, a ESET divulga dicas para que você #FiqueemCasa. No site, traz dicas de proteção para dispositivos e conteúdos que ajudam a aproveitar ao máximo os dias em casa e garantem a segurança dos pequenos enquanto se divertem on-line. Inclui: 90 dias gratuitos do ESET INTERNET SECURITY para proteger todos os dispositivos domésticos, um Guia de Teletrabalho, com boas práticas para trabalhar em casa sem riscos, a Academia ESET, para acessar cursos on-line que ajudam você a tirar o máximo proveito da tecnologia e o DigiPais, para ler dicas sobre como acompanhar e proteger as crianças na Web.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite http://www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter .