Pesquisadores de segurança descobriram uma nova ameaça virtual que visa diretamente servidores Linux. O protagonista dessa história é o DinodasRAT, um malware sofisticado que tem sido observado atacando sistemas Red Hat e Ubuntu. Esta variante Linux do DinodasRAT, também conhecida como XDealer, parece estar ativa desde 2022, embora suas primeiras aparições remontem a 2021.
Espionagem com Alta Tecnologia
Anteriormente, o DinodasRAT já havia sido visto comprometendo sistemas Windows em uma operação de espionagem chamada 'Operação Jacana', descoberta pela ESET. Mais recentemente, a Trend Micro relatou sobre um grupo APT chinês conhecido como 'Earth Krahang', utilizando o XDealer para violar sistemas Windows e Linux de governos em todo o mundo.
Funcionamento e Estratégias do Malware
De acordo com as investigações da Kaspersky, uma vez executado em um sistema Linux, o DinodasRAT inicia seu processo de infecção criando um arquivo oculto para prevenir múltiplas instâncias no dispositivo infectado. Ele assegura sua persistência através de scripts de inicialização SystemV ou SystemD, e, para complicar sua detecção, executa-se novamente enquanto o processo principal aguarda.
Após infectar uma máquina, o malware a marca com detalhes específicos de infecção, hardware e sistema operacional, enviando essas informações para um servidor de comando e controle (C2). A comunicação com o C2 é feita através de TCP ou UDP, e o malware utiliza o Algoritmo de Criptografia Tiny (TEA) em modo CBC para troca segura de dados.
O DinodasRAT é equipado para monitorar e extrair dados sobre atividades do usuário, configurações do sistema e processos em execução. Além disso, ele recebe comandos do C2 para diversas ações, como manipulação de arquivos e execução de comandos no shell, e até mesmo para atualizar o endereço do C2. Ele pode gerenciar processos e serviços no sistema infectado, oferecer aos atacantes um shell remoto para execução direta de comandos ou arquivos e, de forma aterradora, até mesmo desinstalar-se e apagar todos os vestígios de sua atividade.
Os pesquisadores enfatizam que o DinodasRAT concede ao atacante controle total sobre os sistemas comprometidos, sendo usado principalmente para ganhar e manter acesso aos alvos por meio de servidores Linux. "O backdoor é totalmente funcional, concedendo ao operador controle completo sobre a máquina infectada, facilitando a exfiltração de dados e espionagem", adverte a Kaspersky.
VEJA TAMBÉM: CTEM: Gestão Contínua de Exposição a Ameaças
Alcance Global
Ainda que os detalhes sobre o método inicial de infecção sejam escassos, sabe-se que desde outubro de 2023, o malware afetou vítimas na China, Taiwan, Turquia e Uzbequistão. Este é um lembrete crucial da importância de estar sempre vigilante e de implementar medidas robustas de segurança para proteger sistemas e dados em organizações globalmente. A International IT se posiciona como uma parceira valiosa para empresas que buscam fortalecer sua postura de cibersegurança e proteger suas operações críticas contra ataques cibernéticos cada vez mais complexos e prejudiciais. Baixe agora nosso e-book "Proteção cibernética em uma era de avanço tecnológico: Entenda a importância do Firewall na Rede" para uma visão aprofundada sobre segurança cibernética. Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!