Backdoor do Mistic Ghost Descoberto – Ele Desaparece Após Ataque Hacker, Abrindo Caminho Para Extorsionistas

O backdoor autodestrutivo Mistic, também conhecido como MLTBackdoor, que vem sendo usado em ataques cibernéticos desde abril, provavelmente está ligado a um grupo de cibercriminosos que invade redes corporativas e depois vende acesso a ransomware, dizem pesquisadores de segurança cibernética.

Fonte da imagem: Kevin Ku / unsplash.com

A Zscaler foi a primeira a relatar a existência da backdoor, sugerindo que o novo malware “provavelmente é usado em ataques de ransomware para criar um ponto de acesso e se espalhar lateralmente”. Nos últimos meses, ele foi usado para acessar as redes de diversas organizações, incluindo aquelas dos setores de seguros, educação e tecnologia, de acordo com a Symantec e a Carbon Black. “O Mistic pode estar associado a um intermediário de acesso inicial com motivação financeira, publicamente conhecido como KongTuke (ou Woodgnat), e foi usado em uma das intrusões, que também envolveu o trojan de acesso remoto ModeloRAT do grupo”, afirmaram.

Esses grupos não implantam grandes quantidades de malware em sistemas comprometidos; eles apenas invadem os sistemas das empresas e vendem esse acesso para outros cibercriminosos, incluindo grupos de ransomware. O KongTuke já foi associado a ataques de vários grupos de ransomware, incluindo Qilin, Interlock, Rhysida, Akira, 8Base e Black Basta. Em um dos casos, o Mistic se infiltrou por meio do arquivo legítimo MpExtMs.exe e carregou dados da biblioteca EndpointDlp.dll.

O Mistic possui funcionalidades padrão de backdoor: ele carrega, baixa, renomeia e exclui arquivos. Também pode criar novas pastas e verificar a presença de comandos adicionais em um servidor controlado pelo atacante. Ele consegue carregar payloads diretamente na RAM sem gravar arquivos maliciosos no disco, evitando assim a detecção por antivírus.Com um “interruptor de segurança” integrado, ele oferece aos invasores acesso oculto e de longo prazo, alertam os especialistas.