Novo malware backdoor Buterat encontrado em redes corporativas e governamentais

Pesquisadores de segurança cibernética da Equipe de Inteligência de Ameaças Lat61 da Point Wild divulgaram novas descobertas sobre uma operação altamente maliciosa conhecida como Backdoor.Win32.Buterat . O programa foi projetado para infecções de longo prazo, permitindo que invasores invadam redes, roubem informações confidenciais e instalem ferramentas maliciosas adicionais.

Depois de infectar um dispositivo alvo, geralmente por meio de um e-mail de phishing ou um download malicioso falso, ele se esconde dentro dos processos normais do sistema e faz alterações nas chaves de registro para sobreviver às reinicializações e permanecer no local.

Segundo os pesquisadores, o backdoor do Buterat foi inicialmente identificado como tendo como alvo redes governamentais e corporativas. Em sua publicação no blog, compartilhada com o Hackread.com antes da publicação, os pesquisadores observaram que o backdoor do Buterat utiliza técnicas avançadas de manipulação de processos e threads, como SetThreadContext e ResumeThread, para sequestrar o fluxo de execução, evitando os alertas que os sistemas de segurança normalmente procuram.

Pior ainda, o Buterat também é capaz de burlar os sistemas de autenticação dos quais a maioria dos dispositivos depende. O backdoor se comunica com servidores remotos de comando e controle (C2) usando canais criptografados e ofuscados, tornando-o extremamente difícil de ser detectado pelo monitoramento normal da rede.

Durante os testes ao vivo, os pesquisadores observaram o malware instalando diversas cargas úteis nos sistemas infectados. Arquivos com nomes como amhost.exe e bmhost.exe foram colocados no diretório de usuários do Windows, cada um projetado para desempenhar um papel na manutenção do controle e no aumento das capacidades dos invasores por trás da operação.

Em seguida, houve tentativas de contato com um servidor C2 hospedado em ginomp3.mooo.com , que atua como um centro de controle remoto para exfiltração e execução de comandos adicionais.

O Dr. Zulfikar Ramzan , CTO da Point Wild, resumiu com um alerta: "Buterat fala baixo, mas carrega um porrete. Essa porta dos fundos sequestra threads legítimas, se disfarça como um processo normal e liga discretamente para casa."

Então, o que as empresas podem fazer para proteger seus sistemas contra o Buterat? Especialistas recomendam o uso de proteção de endpoint, ferramentas de análise comportamental e monitoramento de rede, especialmente para identificar domínios suspeitos como o associado ao backdoor do Buterat.

Treinamento e bom senso também são fatores-chave no combate a ataques de malware e phishing. Como e-mails de phishing e anexos maliciosos continuam sendo métodos comuns de envio, é necessário treinar os funcionários para identificar mensagens suspeitas. Evitar downloads de software trojanizado de fontes não verificadas é mais uma medida para limitar a exposição.