🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de uma estrutura de backdoor furtiva baseada em Python chamada DEEP#DOOR, que vem com recursos para estabelecer acesso persistente e coletar uma ampla gama de informações confidenciais de hosts comprometidos.
“A cadeia de intrusão começa com a execução de um script em lote ('install_obf.bat') que desativa os controles de segurança do Windows, extrai dinamicamente uma carga útil Python incorporada ('svc.py') e estabelece persistência por meio de vários mecanismos, incluindo scripts de pasta de inicialização, chaves de execução do registro, tarefas agendadas e assinaturas WMI opcionais”, disseram os pesquisadores da Securonix Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório compartilhado com o The Hacker News.
Avalia-se que o script em lote é distribuído por meio de abordagens tradicionais, como phishing. Atualmente não se sabe quão difundidos são os ataques que distribuem o malware e se alguma dessas infecções foi bem-sucedida.
O que torna a cadeia de ataque notável é que o implante central do Python é incorporado diretamente no script dropper, de onde é extraído, reconstruído e executado. Isso reduz a necessidade de recorrer repetidamente à infraestrutura externa e minimiza a pegada forense.
Uma vez lançado, o malware estabelece comunicação com o “bore[.]pub”, um serviço de tunelamento baseado em Rust, permitindo ao operador emitir comandos que facilitam a execução remota de comandos e vigilância extensa. Isso inclui -
Concha reversa
Reconhecimento do sistema
Registro de teclas
Monitoramento da área de transferência
Captura de tela
Acesso à webcam
Gravação de áudio ambiente
Coleta de credenciais do navegador da Web
Extração de chave SSH
Credenciais armazenadas no Google Chrome, Mozilla Firefox e Windows Credential Manager
Roubo de credenciais na nuvem (Amazon Web Services, Google Cloud e Microsoft Azure)
O uso do serviço público de tunelamento TCP para comando e controle (C2) oferece diversas vantagens, pois elimina a necessidade de configuração de infraestrutura dedicada, combina tráfego malicioso e evita a incorporação de detalhes do servidor na carga útil.
Paralelamente, o DEEP#DOOR incorpora um conjunto de mecanismos de anti-análise e evasão de defesa, como sandbox, depurador e detecção de máquina virtual (VM), patch AMSI e Event Tracing for Windows (ETW), desengate NTDLL, adulteração do Microsoft Defender, bypass SmartScreen, supressão de log do PowerShell, limpeza de linha de comando, registro de data e hora e limpeza de log, para passar despercebido e complicar os esforços de resposta a incidentes.
Ele também emprega vários mecanismos de persistência que envolvem a criação de scripts de pasta de inicialização do Windows, chaves de execução do registro e tarefas agendadas, além de contar com um mecanismo de vigilância para garantir que os artefatos de persistência não foram removidos e, em caso afirmativo, recriá-los automaticamente, tornando a correção um desafio.
“O implante resultante opera como um Trojan de acesso remoto (RAT) completo, capaz de persistência de longo prazo, espionagem, movimento lateral e operações pós-exploração em ambientes comprometidos”, disse Securonix. “O implante prioriza a evasão de detecção e visibilidade forense, alterando diretamente a segurança do Windows e os mecanismos de telemetria.”
"O DEEP#DOOR destaca a evolução contínua dos agentes de ameaças em direção a estruturas de intrusão sem arquivo e orientadas por script, que dependem fortemente de componentes nativos do sistema e linguagens interpretadas como Python. Ao incorporar a carga útil diretamente no dropper e extraí-la em tempo de execução, o malware reduz significativamente as dependências externas e limita as oportunidades tradicionais de detecção."
“A cadeia de intrusão começa com a execução de um script em lote ('install_obf.bat') que desativa os controles de segurança do Windows, extrai dinamicamente uma carga útil Python incorporada ('svc.py') e estabelece persistência por meio de vários mecanismos, incluindo scripts de pasta de inicialização, chaves de execução do registro, tarefas agendadas e assinaturas WMI opcionais”, disseram os pesquisadores da Securonix Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório compartilhado com o The Hacker News.
Avalia-se que o script em lote é distribuído por meio de abordagens tradicionais, como phishing. Atualmente não se sabe quão difundidos são os ataques que distribuem o malware e se alguma dessas infecções foi bem-sucedida.
O que torna a cadeia de ataque notável é que o implante central do Python é incorporado diretamente no script dropper, de onde é extraído, reconstruído e executado. Isso reduz a necessidade de recorrer repetidamente à infraestrutura externa e minimiza a pegada forense.
Uma vez lançado, o malware estabelece comunicação com o “bore[.]pub”, um serviço de tunelamento baseado em Rust, permitindo ao operador emitir comandos que facilitam a execução remota de comandos e vigilância extensa. Isso inclui -
Concha reversa
Reconhecimento do sistema
Registro de teclas
Monitoramento da área de transferência
Captura de tela
Acesso à webcam
Gravação de áudio ambiente
Coleta de credenciais do navegador da Web
Extração de chave SSH
Credenciais armazenadas no Google Chrome, Mozilla Firefox e Windows Credential Manager
Roubo de credenciais na nuvem (Amazon Web Services, Google Cloud e Microsoft Azure)
O uso do serviço público de tunelamento TCP para comando e controle (C2) oferece diversas vantagens, pois elimina a necessidade de configuração de infraestrutura dedicada, combina tráfego malicioso e evita a incorporação de detalhes do servidor na carga útil.
Paralelamente, o DEEP#DOOR incorpora um conjunto de mecanismos de anti-análise e evasão de defesa, como sandbox, depurador e detecção de máquina virtual (VM), patch AMSI e Event Tracing for Windows (ETW), desengate NTDLL, adulteração do Microsoft Defender, bypass SmartScreen, supressão de log do PowerShell, limpeza de linha de comando, registro de data e hora e limpeza de log, para passar despercebido e complicar os esforços de resposta a incidentes.
Ele também emprega vários mecanismos de persistência que envolvem a criação de scripts de pasta de inicialização do Windows, chaves de execução do registro e tarefas agendadas, além de contar com um mecanismo de vigilância para garantir que os artefatos de persistência não foram removidos e, em caso afirmativo, recriá-los automaticamente, tornando a correção um desafio.
“O implante resultante opera como um Trojan de acesso remoto (RAT) completo, capaz de persistência de longo prazo, espionagem, movimento lateral e operações pós-exploração em ambientes comprometidos”, disse Securonix. “O implante prioriza a evasão de detecção e visibilidade forense, alterando diretamente a segurança do Windows e os mecanismos de telemetria.”
"O DEEP#DOOR destaca a evolução contínua dos agentes de ameaças em direção a estruturas de intrusão sem arquivo e orientadas por script, que dependem fortemente de componentes nativos do sistema e linguagens interpretadas como Python. Ao incorporar a carga útil diretamente no dropper e extraí-la em tempo de execução, o malware reduz significativamente as dependências externas e limita as oportunidades tradicionais de detecção."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #backdoor #python #usa #serviço #de #túnel #para #roubar #credenciais #de #navegador #e #nuvem
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário