Malware russo envia comandos de invasão via Gmail, alerta ESET

O grupo hacker russo conhecido como “Turla”, que supostamente conta com patrocínio do governo de Vladimir Putin, atualizou o malware “ComRAT”, que ganhou duas novas funções. Segundo a firma de segurança e análise de riscos cibernéticos ESET, o malware agora conta com capacidade de “roubar” os logs de detecção de softwares antivírus, bem como pode ser controlado e emitir comandos de invasão a partir da caixa de entrada do Gmail.

Falando especificamente dos antivírus, a ESET ressalta que o ComRAT extrai os logs de detecção dos programas de segurança, fazendo o upload dessas informações para um de seus inúmeros servidores de comando-e-controle. O intuito dessa ação é permitir aos invasores determinarem se o malware foi encontrado por softwares de proteção do usuário. Segundo o pesquisador da ESET, Matthieu Faou, o objetivo disso é ter uma melhor compreensão das situações que levam à detecção do malware, provavelmente para que versões futuras consigam contornar tais falhas.

“O problema é que, geralmente, é difícil determinar quais arquivos foram extraídos pelos invasores”, Faou disse ao ZDNet. “Mas para grupos relativamente avançados, não é raro que eles tentem entender se e como foram detectados, além de saber se eles deixaram rastros para trás ou não”.

Outra função nova do ComRAT é a execução de comandos de invasão por meio de uma caixa de entrada do Gmail. De acordo com Faou, o malware toma posse de um browser da vítima, carrega um cookie de navegação pré-definido e inica uma sessão no Gmail por meio da interface web. A partir daí, o malware vai ler os e-mails recentes da caixa de entrada e baixar arquivos anexados, lendo instruções técnicas dentro de tais arquivos.

Em tese, isso permite que o grupo Turla execute comandos por meio do Gmail: basicamente, se eles quiserem que a máquina infectada realize uma ação específica, basta que os invasores enviem um arquivo corrompido para a caixa de entrada invadida, e o ComRAT tratará de abrí-lo e baixar o material danoso.

Ataques diplomáticos

O grupo Turla tem registros de ações que voltam até meados do ano 2000, quando os hackers conseguiram roubar informações do Pentágono norte-americano. Comumente associados ao governo russo do presidente Vladimir Putin, o Turla vem atualizando o ComRAT como sua principal arma de ataque, estando agora em sua quarta versão.

A situação que fez a ESET se manifestar refere-se a um ataque identificado pela empresa, realizado em janeiro de 2020 e direcionado a três entidades diplomáticas de grande porte — um parlamento nacional da região do Cáucaso (uma área entre o Mar Negro e o Mar Cáspio) e dois Ministérios de Relações Exteriores da Europa Oriental. Os nomes das vítimas foram omitidos pela ESET por motivos de diplomacia e segurança nacional das nações afetadas.

Apesar dos ataques recentes, a ESET concluiu em seu relatório que o ComRAT segue sendo usado pelo Turla como uma ferramenta secundária, direcionada a hospedeiros que já estejam infectados. Neste caso, o ComRAT é usado para buscar arquivos específicos de sistema, extraindo os dados para um ponto remoto, normalmente um ambiente de nuvem hospedado pelo OneDrive ou 4shared.

A ESET não informou nenhum método de prevenção a esse tipo de ataque.

Fonte: ZDNet