Especialistas em cibersegurança da Check Point Research descobriram um malware exclusivo, chamado VoidLink, em seu código-fonte. Ele pode ser configurado com mais de 30 módulos, permitindo que personalize suas capacidades de ataque para atender às necessidades dos invasores em cada máquina infectada.
Fonte da imagem: Check Point Research
Os módulos podem fornecer ao VoidLink maior discrição e implantar ferramentas especializadas para coleta de informações, escalonamento de privilégios e movimentação lateral dentro de uma rede comprometida. Os componentes podem ser facilmente adicionados ou removidos conforme os alvos mudam durante uma campanha. Atualmente, o VoidLink pode atacar máquinas em serviços de nuvem populares, detectando automaticamente a hospedagem em infraestruturas da AWS, GCP, Azure, Alibaba e Tencent; há indícios de que versões futuras adicionarão suporte para as plataformas Huawei, DigitalOcean e Vultr. Para determinar em qual serviço de nuvem uma máquina está hospedada, o VoidLink analisa metadados usando a API do respectivo provedor.
Estruturas semelhantes que visam servidores Windows existem há muitos anos, mas são muito menos comuns em máquinas Linux. Isso indica que o conjunto de alvos dos cibercriminosos está se expandindo para incluir sistemas Linux, infraestrutura de nuvem e ambientes de implantação de aplicativos, à medida que as organizações migram cada vez mais softwares para a nuvem. A interface do VoidLink é localizada para operadores ligados à China, o que significa que o malware modular pode ter sido criado naquele país; símbolos e comentários no código indicam que ele ainda está em desenvolvimento. Até o momento, não foram detectados sinais de infecção pelo VoidLink em ambientes reais; os pesquisadores o descobriram em uma série de clusters de malware para Linux no VirusTotal. O pacote binário inclui um carregador de dois estágios; o implante final inclui os principais módulos integrados, que podem ser complementados com plugins.
Os autores do estudo destacaram as principais capacidades do VoidLink:
Até o momento, não foram detectados sinais de ataques a máquinas infectadas pelo VoidLink.Portanto, os administradores de sistemas não são obrigados a tomar nenhuma medida imediata, mas devem estar cada vez mais vigilantes ao trabalhar com máquinas Linux, dizem os especialistas.