Especialistas da empresa japonesa Trend Micro, especializada em questões de segurança cibernética, descobriram o malware SprySOCKS, usado para atacar máquinas que executam sistemas Linux.
Fonte da imagem: Tumisu / pixabay.com
O novo malware se origina do backdoor Trochilus do Windows, descoberto em 2015 por pesquisadores da Arbor Networks – ele é iniciado e executado apenas na memória e sua carga útil não é armazenada em discos, o que torna a detecção muito mais difícil. Em junho deste ano, os pesquisadores da Trend Micro descobriram um arquivo em um servidor chamado “libmonitor.so.2” usado por um grupo cujas atividades eles acompanhavam desde 2021. No banco de dados do VirusTotal, eles encontraram um arquivo executável associado “mkmon”, que ajudou a descriptografar “libmonitor.so.2” e revelar sua carga útil.
Descobriu-se que se trata de um programa malicioso complexo para Linux, cuja funcionalidade coincide parcialmente com as capacidades do Trochilus e possui uma implementação original do protocolo Socket Secure (SOCKS), por isso o malware recebeu o nome de SprySOCKS. Ele permite coletar informações sobre o sistema, iniciar a interface de comando de controle remoto (shell), gerar uma lista de conexões de rede, implantar um servidor proxy baseado no protocolo SOCKS para trocar dados entre o sistema comprometido e o servidor de comando do invasor, e também realizar outras operações. A indicação de versões do malware sugere que ele ainda está em desenvolvimento.
Pesquisadores sugerem que o SprySOCKS seja usado por hackers do grupo Earth Lusca – ele foi descoberto pela primeira vez em 2021, e apareceu na lista de cibercriminosos um ano depois. O grupo usa métodos de engenharia social para infectar sistemas. SprySOCKS instala os pacotes Cobalt Strike e Winnti como cargas úteis. O primeiro é um kit para encontrar e explorar vulnerabilidades; a segunda, com mais de dez anos, está em contato com as autoridades chinesas. Existe uma versão de que o grupo Earth Lusca, que atua principalmente para fins asiáticos, tem como objetivo o roubo de fundos, pois muitas vezes suas vítimas são empresas envolvidas em jogos de azar e criptomoedas.