Pesquisadores da Symantec identificaram uma versão Linux do backdoor GoGra, utilizado pelo grupo Harvester para enviar comandos através da caixa de entrada do Outlook, garantindo discrição.
Um grupo de ciberespionagem vinculado a um Estado-nação criou uma versão Linux do backdoor GoGra, aproveitando a Microsoft Graph API e a caixa de entrada do Outlook para transmitir comandos maliciosos a sistemas comprometidos.
A descoberta foi realizada pela equipe da Symantec e pelo Carbon Black Threat Hunter Team, da Broadcom, e representa um avanço significativo nas capacidades do grupo denominado Harvester.
Infraestrutura legítima usada como camuflagem
O GoGra se disfarça utilizando serviços legítimos da Microsoft, inserindo credenciais do Azure AD diretamente no código para conseguir tokens OAuth2. Isso permite o acesso a uma pasta específica na caixa de entrada via Graph API, onde são buscados e-mails contendo comandos.
Esse método é conhecido como canal C2 (comando e controle) encoberto, onde o invasor consegue passar instruções para a máquina infectada sem levantar suspeitas. As comunicações ocorrem através dos servidores da Microsoft, dificultando a detecção por firewalls e sistemas de monitoramento.
Vírus criado pelos Estados Unidos é descoberto após 20 anos de sabotagem
Pasta “Zomato Pizza” e comandos criptografados
O backdoor realiza verificações em uma pasta de e-mails intitulada “Zomato Pizza” a cada dois segundos, procurando mensagens cujo assunto comece com a palavra “Input”. Ao localizar um e-mail, ele descriptografa o conteúdo, que está codificado em base64 com criptografia AES-CBC, e executa o comando diretamente no sistema via terminal Linux (/bin/bash -c).
Após a execução, o malware elimina as mensagens da caixa de entrada, evitando deixar rastros. Os resultados dos comandos são criptografados e enviados de volta ao operador pelo mesmo canal.
A escolha do nome da pasta é uma referência a um restaurante de delivery em Hyderabad, na Índia. A variante Windows deste malware usava uma pasta chamada “Dragan Dash”, também associada ao mesmo estabelecimento, um detalhe que ajudou a conectar as duas versões na investigação.
Versão Linux e Windows compartilham o mesmo desenvolvedor
A investigação indicou que as variantes Linux e Windows do GoGra compartilham uma base de código quase identica. Ambas utilizam a mesma chave AES, possuem a mesma lógica de C2 e até apresentam erros de codificação semelhantes, sugerindo que foram desenvolvidas pelo mesmo indivíduo.
Após ataque à NPM, criminosos distribuem versão maliciosa do Bitwarden para roubar dados e credenciais
As variações entre as duas versões se restringem à arquitetura do sistema operacional, ao intervalo de tempo entre as pesquisas e aos nomes das pastas de e-mails utilizadas para a entrega das instruções.
Harvester atuando no sul da Ásia desde 2021
O grupo Harvester está ativo desde pelo menos 2021, utilizando tanto ferramentas personalizadas quanto utilitários disponíveis publicamente. Um dos instrumentos reconhecidos do grupo é o backdoor Graphon, que também se aproveita da infraestrutura da Microsoft para comunicação C2 e possui similaridades com o GoGra.
As primeiras amostras do novo malware foram enviadas ao VirusTotal oriundas de dispositivos na Índia e no Afeganistão. O uso de documentos atrativos nos idiomas locais reforça que a campanha era direcionada especificamente a alvos na região.
Até o momento, nenhuma vítima confirmada foi identificada, mas os pesquisadores da Symantec apontam que o Harvester mantém um interesse contínuo na área com intenções de espionagem.
Após vazamento, Claude Code pode ser usado de graça
Fique por dentro das novidades no TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.