Campanha de Ciberespionagem Utilizando Novo Malware Linux

A ESET revela malware Linux vinculado ao grupo Gelsemium da China, com as backdoors WolfsBane e FireWood visando dados sensíveis para ciberespionagem.

ESET Pesquisadores de cibersegurança descobriram um novo tipo de malware projetado para sistemas Linux, nomeado “WolfsBane”, que eles acreditam estar conectado a um grupo de hackers chineses chamado Gelsemium.

Este grupo, conhecido pelos seus ataques sofisticados, tem estado ativo desde 2014, visando principalmente sistemas Windows. Este novo malware marca a primeira vez que o Gelsemium foi associado ao Linux, uma plataforma cada vez mais visada por hackers, diz a ESET.

A ESET relata que o backdoor WolfsBane é semelhante a um malware anterior, Gelsevirine, usado pelo Gelsemium para obter acesso não autorizado a sistemas.

Ambas as ferramentas compartilham características-chave, incluindo a maneira como se comunicam com servidores controlados por hackers, executam comandos e escondem sua presença em sistemas infectados.

WolfsBane usa uma biblioteca especializada e métodos de criptografia para escapar da detecção, permitindo que os hackers monitorem o sistema da vítima e roubem informações sensíveis ao longo de um período prolongado sem serem notados, diz a ESET.

Junto com WolfsBane, os pesquisadores também encontraram outro backdoor chamado “FireWood”, que pode também estar ligado ao Gelsemium, embora a conexão seja menos certa.

FireWood compartilha semelhanças com malwares usados em ataques cibernéticos passados pelo grupo, incluindo sua estrutura e métodos de criptografia. No entanto, devido à possibilidade de ferramentas compartilhadas entre diferentes grupos de hackers, a ligação com Gelsemium não é confirmada, diz a ESET.

A ESET explica que essas ferramentas de malware são projetadas para ciberespionagem, permitindo aos invasores roubar dados do sistema, credenciais e arquivos.

A mudança para o malware Linux ocorre à medida que os hackers procuram novos vetores de ataque após o aumento das medidas de segurança nos sistemas Windows, como ferramentas de detecção de endpoint e mudanças na segurança de e-mail da Microsoft. A ESET aponta que muitos sistemas voltados para a internet funcionam no Linux, tornando-os um alvo atraente para os cibercriminosos.

O malware foi encontrado em arquivos enviados para o VirusTotal, um serviço usado por especialistas em segurança para analisar arquivos suspeitos, e parece ter sido implantado em servidores em Taiwan, nas Filipinas e em Singapura. A investigação sugere que os hackers possam ter obtido acesso a esses servidores através de vulnerabilidades em aplicações web.

Enquanto os pesquisadores da ESET continuam a analisar o malware, eles confirmaram que os atacantes usam técnicas avançadas para manter o acesso a longo prazo aos sistemas comprometidos, tornando-os difíceis de detectar e remover.

A descoberta de WolfsBane e FireWood ressalta a crescente ameaça de ataques cibernéticos direcionados ao Linux, destacando a necessidade de medidas de segurança mais robustas em todas as plataformas.