malware mais recente pode em breve atacar o Linux, o sistema operacional Mac

De acordo com o relatório, recentemente descoberto malware de roubo de informações do Windows vinculado a um grupo ativo rastreado como AridViper, ele explicou que pode ser usado para infectar o sistema operacional Linux e Mac.

O Trojan original chamado PyMICROPSIA pela Unidade 42 foi exposto enquanto investigava a atividade do AridViper que também rastreava como Desert Falcon e APT-C-23. Uma organização de cyberspies que falam árabe concentrando seus ataques em alvos do Oriente Médio desde pelo menos 2011.

AridViper opera principalmente fora da Palestina, Egito e Turquia e a maioria das vítimas que comprometeram ultrapassou 3.000 em 2015 [PDF]; de acordo com a Equipe Global de Pesquisa e Análise.

Novos vetores de ataque iniciados dentro do código:

  • PyMICROPSIA é um malware baseado em python que tem como alvo específico o sistema operacional Windows. PyInstaller gerado binário de uso criminoso cibernético. A Unidade 42 também descobriu trechos de código que seu inventor está potencialmente trabalhando para adicionar suporte a várias plataformas.
  • É projetado principalmente para o sistema operacional Windows, mas o código contém trechos interessantes de verificação de outro sistema operacional, como ‘posix’ ou ‘drawin’ como unidade 42.
  • Pode ter sido introduzido pelos desenvolvedores do malware enquanto copiava o código de outros projetos e poderia muito bem ser removido em uma versão futura do torjan PyMICROPSIA.

Roubo de dados e entrega de cargas adicionais:

  • A Unidade 42 descobriu uma longa lista de recursos ao analisar malware encontrado no sistema comprometido e carga útil ou download do servidor de comando e controle (C2) do invasor, enquanto se trata do Trojan PyMICROPSIA.
  • A lista de recursos de roubo de informações e controle inclui roubo de dados, controle de dispositivo e recursos adicionais de distribuição de carga útil.
  • O PyMICROPSIA usa bibliotecas python para uma ampla gama de finalidades, desde informações e roubo de arquivos a processos do Windows, sistema de arquivos e interação de registro.
  • A capacidade de keylogging do Trojan implementada usando a API GetAsynckey state que é parte de um único Payload que baixa do servidor C2.
  • Uma carga baixada também é usada para ganhar persistência, reduzindo um atalho .LNK na pasta de inicialização do sistema Windows comprometida.