Malicious Backdoors atraem cibercriminosos iniciantes no Brasil

São Paulo — InkDesign News — Uma operação avançada direcionada a atores de ameaças inexperientes ganhou acesso a alvos através de repositórios do GitHub, utilizando malware conhecido como “Sakura RAT”.

Vetor de ataque

Os ataques foram descobertos após um cliente questionar a Sophos X-Ops sobre proteções contra o projeto de malware open source “Sakura RAT”. A análise revelou que o RAT tinha código malicioso e funcionava como um backdoor.

Impacto e resposta

A pesquisa da Sophos indicou que o ator de ameaças responsável pelo Sakura RAT tem criado repositórios backdoored em larga escala, visando principalmente trapaceiros de jogos e atores inexperientes desde pelo menos 2022. O ataque fez parte de uma campanha mais ampla conectada a outras operações de distribuição de malware conhecidas, como “Stargazer Goblin”.

“Quando analisamos os backdoors, acabamos caindo em um buraco de obfuscação, cadeias de infecção convolutas, identificadores e múltiplas variantes de backdoor.”
(“When we analyzed the backdoors, we ended up down a rabbit hole of obfuscation, convoluted infection chains, identifiers, and multiple backdoor variants.”)

— Pesquisadores, Sophos X-Ops

Análise e recomendações

Os pesquisadores estipularam um alerta sobre o ator de ameaças, identificado como “ischhfd83”. Além disso, todos os repositórios backdoored foram reportados ao GitHub, que já os removeu. Organizações devem implementar medidas de segurança robustas, como verificação de código e treinamento de segurança para desenvolvedores, a fim de mitigar o risco de ataques através de plataformas como o GitHub.

Com essas descobertas, a expectativa é que o setor de segurança cibernética continue a evoluir suas defesas e análises para lidar com a crescente complexidade das ameaças digitais.

Fonte: (Dark Reading – Segurança Cibernética)