Gangue hacker da China ganha arma poderosa que invade sistemas

Caso você não saiba, um dos grupos cibercriminosos mais prolíficos do mundo é chinês: o APT41. Já como destaque por suas capacidades de ataque e longividade, a gangue foi reforçada com um novo malware que explora rotas secretas em sistemas para burlar códigos de autenticação. Os conhecidos backdoors.

O malware em questão é batizado de StealthVector. Segundo um mergulho técnico realizado pelos pesquisadores de segurança da Zscaler , o software criminoso serve como condutor para um backdoor até então nunca documentado, o MoonWalk — e, exatamente por isso, essa nova versão do malware ganhou o nome de DodgeBox.

“O DodgeBox carrega um novo backdoor chamado MoonWalk. O MoonWalk compartilha técnicas de evasão implementadas no DodgeBox e utiliza o Google Drive para comunicação de comando e controle (C2)”, explicam os pesquisadores.

Como explicar um backdoor de maneira simples? Imagine que a sua casa tem uma porta dos fundos que você não saiba (e ela está aberta, sem chave): você vive nessa casa todos dias de maneira insegura, com a possibilidade de sofrer uma invasão a qualquer momento.

Cibercriminosos buscam essas portas abertas e desconhecidas em sistemas para roubar dados, realizar novas infecções e praticar diversos tipos de ataques no sistema infectado.

O APT41 utiliza executáveis legítimos (por exemplo, “taskhost.exe”) da solução de virtualização Sandboxie, segundo a Zscaler, para carregar lateralmente DLL malicioso (sbiedll.dll).

Então, o carregador DLL escrito em C atua como canal para descriptografar e lançar uma carga útil de MoonWalk, o backdoor.

A Zscaler ainda nota que o loader do malware emprega técnicas diversas para não sofrer detecção estática ou comportamental, burlando as proteções de sistema.

Não é de hoje que o grupo APT41 é monitorado por autoridades internacionais e pesquisadores. Ativo desde 2007, os cibercriminosos já realizaram ações sob outros codinomes, como Axiom, Bronze Atlas, TA415, Wicked Panda e outros.

Dodgebox

Se um estudo detalhado sobre o malware te interessa, você pode acompanhar a publicação da Zscaler clicando aqui.