São Paulo — InkDesign News — O time de Inteligência de Ameaças da Point Wild, conhecido como Lat61, revelou novas descobertas sobre uma operação de malware chamada Backdoor.Win32.Buterat. O programa é projetado para infecções de longo prazo, permitindo que atacantes invadam redes, roubem informações sensíveis e instalem ferramentas maliciosas adicionais.
Incidente e vulnerabilidade
O Backdoor.Win32.Buterat infecta dispositivos-alvo frequentemente através de emails de phishing ou downloads maliciosos disfarçados. Após a infecção, ele se oculta em processos de sistema normais e altera chaves de registro, garantindo sua permanência após reinicializações. O malware utiliza técnicas avançadas de manipulação de processos e threads, como SetThreadContext e ResumeThread, para sequestrar o fluxo de execução, evitando alarmes dos sistemas de segurança. Além disso, Buterat é capaz de contornar sistemas de autenticação e comunica-se com servidores de comando e controle (C2) usando canais criptografados e ofuscados, tornando a detecção através da monitoração normal da rede extremamente complicada.
Impacto e resposta
Durante os testes ao vivo, os investigadores observaram o malware implantando múltiplos payloads em sistemas infectados. Arquivos com nomes como amhost.exe e bmhost.exe foram colocados no diretório de usuários do Windows, cada um projetado para manter o controle e aumentar as capacidades dos atacantes por trás da operação. O malware também tentou contatar um servidor C2 hospedado em ginomp3.mooo.com, servindo como o hub de controle remoto para exfiltratação e execução de comandos adicionais. As consequências da infecção podem incluir a perda de dados sensíveis e comprometimento de redes governamentais e corporativas.
Mitigações recomendadas
Para proteger os sistemas contra o Buterat, especialistas recomendam o uso de proteção de endpoint, ferramentas de análise comportamental e monitoração de rede, especialmente para identificar domínios suspeitos relacionados ao backdoor. O treinamento de funcionários também é crucial, considerando que emails de phishing e anexos maliciosos são métodos de entrega comuns. O treinamento deve incluir a identificação de mensagens suspeitas e a recomendação de evitar downloads de software trojanizado de fontes não verificadas.
“Buterat fala suavemente, mas carrega um grande bastão. Este backdoor sequestra threads legítimos, se disfarça como um processo normal e telefona para casa silenciosamente.”
(“Buterat speaks softly, but carries a big stick. This backdoor hijacks legitimate threads, blends in as a normal process, and quietly phones home.”)— Dr. Zulfikar Ramzan, CTO da Point Wild
Os riscos residuais associados ao Backdoor.Win32.Buterat enfatizam a necessidade de uma vigilância contínua e a implementação de boas práticas de segurança cibernética. A adoção de medidas de mitigação apropriadas e o reforço na conscientização dos funcionários são passos essenciais para a defesa contra futuras infeções e compromissos de dados.
Fonte: (Hack Read – Segurança Cibernética)
