Pesquisadores da empresa de segurança cibernética Chronicle, pertencente à Alphabet, finalmente descobriram uma versão do malware Winnti para Linux enquanto investigavam um ciberataque recente contra a gigante farmacêutica alemã Bayer. De acordo com os profissionais, o código contido na variante para o sistema operacional aberto lembra a versão Winnti 2.0 do Windows, que tem sido usada por cibercriminosos chineses na última década para lançar ataques a sistemas em todo o mundo, sobretudo de desenvolvedores de games.

De acordo com a Chronicle, a versão para Linux do Winnti foi projetada para funcionar como uma backdoor em hosts infectados, o que dá aos hackers a capacidade de acessar o sistema comprometido. Os pesquisadores descobriram a existência da versão Linux ao tentar procurar amostras do malware na plataforma VirusTotal.

Depois de analisar a variante do Linux, a Chronicle descobriu que ela datava de 2015 e continha um trojan de backdoor (libxselinux) e uma biblioteca (libselinux.so) usados para ocultar o malware da detecção. Especialistas acreditam que vários grupos de Ameaça Persistente Avançada (sigla APT – Advanced Persistent Threat, em inglês) operam sob o guarda-chuva do Winnti, incluindo Winnti, Wicked Panda, ShadowPad, Deputadog, APT17, PassCV e outros.


Siga no Instagram: acompanhe nossos bastidores, converse com nossa equipe, tire suas dúvidas e saiba em primeira mão as novidades que estão por vir no Canaltech.

Países afetados pelo Winnti/ Imagem: New Jersey Cybersecurity and Communications Integration Cell

Todos esses grupos usaram estratégias e técnicas semelhantes no passado e até compartilharam partes da mesma infraestrutura de hackers.

“Assim como outras versões do Winnti, o componente principal do malware não fornece aos operadores funcionalidade distinta. Esse componente é projetado principalmente para lidar com comunicações e a implantação de módulos diretamente dos servidores de comando e controle. Durante nossa análise, não foi possível recuperar nenhum plug-in ativo. No entanto, relatórios anteriores sugerem que os operadores geralmente implantam plug-ins para execução de comandos remotos, exfiltração de arquivos e proxy5 no host infectado. Esperamos que funcionalidades semelhantes sejam aproveitadas por meio de módulos adicionais para o Linux”, disseram os pesquisadores, em um post no blog do Chromium.

Leia a matéria no Canaltech.

Trending no Canaltech: