Um grupo de ciberespionagem ligado a um Estado-nação desenvolveu uma versão Linux do backdoor GoGra que usa a Microsoft Graph API e uma caixa de entrada do Outlook. O objetivo é enviar comandos maliciosos a máquinas comprometidas.
A descoberta foi feita pela equipe Symantec e Carbon Black Threat Hunter Team, da Broadcom, e representa uma expansão significativa das capacidades do grupo conhecido como Harvester.
smart_display
Nossos vídeos em destaque
Infraestrutura legítima usada como disfarce
O GoGra abusa de serviços legítimos da Microsoft para se camuflar no tráfego corporativo comum. O malware usa credenciais do Azure AD inseridas diretamente no código para obter tokens OAuth2 e então acessa uma pasta específica da caixa de entrada via Graph API, procurando por e-mails com comandos.
Essa abordagem é chamada de canal C2 (comando e controle) encoberto, ou seja, um mecanismo pelo qual o invasor envia instruções à máquina infectada sem que esse tráfego pareça suspeito. Isso porque as comunicações passam pelos servidores da própria Microsoft, tornando a detecção por firewalls e sistemas de monitoramento de rede muito mais difícil.
Pasta “Zomato Pizza” e comandos criptografados
O backdoor faz consultas a uma pasta de e-mail chamada “Zomato Pizza” a cada dois segundos, procurando mensagens com o assunto iniciado pela palavra “Input”. Ao encontrar um e-mail, descriptografa o corpo da mensagem, que está codificado em base64 com criptografia AES-CBC, e executa o conteúdo diretamente no sistema via terminal Linux (/bin/bash -c).
Após a execução, o malware apaga as mensagens da caixa de entrada para não deixar rastros. Os resultados dos comandos são criptografados e enviados de volta ao operador pelo mesmo canal.
)
O nome da pasta é uma referência a um restaurante de delivery localizado em Hyderabad, na Índia. A versão Windows do mesmo malware usava uma pasta chamada “Dragan Dash”, também associada ao mesmo estabelecimento, um detalhe que contribuiu para ligar as duas versões durante a análise.
Versão Linux e Windows compartilham o mesmo desenvolvedor
Os pesquisadores identificaram que as variantes Linux e Windows do GoGra têm uma base de código quase idêntica. Ambas usam a mesma chave AES, a mesma lógica de C2 e compartilham até erros de codificação idênticos, o que indica que foram escritas pelo mesmo desenvolvedor.
As diferenças se limitam à arquitetura do sistema operacional, ao intervalo de tempo entre as consultas e aos nomes das pastas de e-mail usadas para a entrega dos comandos.
)
Harvester mira sul da Ásia desde pelo menos 2021
O grupo Harvester está ativo desde pelo menos 2021 e usa tanto ferramentas personalizadas quanto utilitários públicos. Um de seus instrumentos conhecidos é o backdoor Graphon, que também usa infraestrutura da Microsoft para comunicação C2 e apresenta semelhanças com o GoGra.
As primeiras amostras do novo malware foram enviadas ao VirusTotal a partir de dispositivos na Índia e no Afeganistão. O uso de documentos chamariz em idiomas locais reforça que a campanha foi direcionada especificamente a alvos na região.
Nenhuma vítima confirmada foi identificada até o momento, mas os pesquisadores da Symantec concluem que o Harvester mantém interesse persistente na região para fins de espionagem.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
