O backdoor autodestrutivo Mistic, também conhecido como MLTBackdoor, que vem sendo usado em ataques cibernéticos desde abril, provavelmente está ligado a um grupo de cibercriminosos que invade redes corporativas e depois vende acesso a ransomware, dizem pesquisadores de segurança cibernética.
Fonte da imagem: Kevin Ku / unsplash.com
A Zscaler foi a primeira a relatar a existência da backdoor, sugerindo que o novo malware “provavelmente é usado em ataques de ransomware para criar um ponto de acesso e se espalhar lateralmente”. Nos últimos meses, ele foi usado para acessar as redes de diversas organizações, incluindo aquelas dos setores de seguros, educação e tecnologia, de acordo com a Symantec e a Carbon Black. “O Mistic pode estar associado a um intermediário de acesso inicial com motivação financeira, publicamente conhecido como KongTuke (ou Woodgnat), e foi usado em uma das intrusões, que também envolveu o trojan de acesso remoto ModeloRAT do grupo”, afirmaram.
Esses grupos não implantam grandes quantidades de malware em sistemas comprometidos; eles apenas invadem os sistemas das empresas e vendem esse acesso para outros cibercriminosos, incluindo grupos de ransomware. O KongTuke já foi associado a ataques de vários grupos de ransomware, incluindo Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta. Em um dos casos, o Mistic se infiltrou por meio do arquivo legítimo MpExtMs.exe e carregou dados da biblioteca EndpointDlp.dll.
O Mistic possui funcionalidades padrão de backdoor: ele carrega, baixa, renomeia e exclui arquivos. Também pode criar novas pastas e verificar a presença de comandos adicionais em um servidor controlado pelo atacante. Ele consegue carregar payloads diretamente na RAM sem gravar arquivos maliciosos no disco, evitando assim a detecção por antivírus.Com um “interruptor de segurança” integrado, ele oferece aos invasores acesso oculto e de longo prazo, alertam os especialistas.
\nA OpenAI anunciou que o modelo GPT-5.6 Sol foi capaz de provar a Conjectura da…
\nO Google terá que ajudar a OpenAI e outras inteligências artificiais e rivais de pesquisa…
\nO Samsung Health esclareceu a confusão em torno da exclusão dos dados de saúde dos…
\nA Nvidia anunciou que a SEGA lançará jogos para computadores rodando em seu novo processador…
\nA operadora móvel por satélite AST SpaceMobile começará a fornecer serviços apenas em 2027. No…
\nA MSI apresentou as placas de vídeo GeForce RTX 5060 V1 Gaming e Gaming OC,…