Especialistas encontraram recentemente uma versão atualizada do malware BPFDoor para o sistema operacional Linux. Esta nova variante apresenta maior dificuldade de detecção, já que nenhum programa antivírus está identificando o arquivo executável como malicioso.
De acordo com os pesquisadores de segurança cibernética da Deep Instinct, o BPFDoor foi descoberto inicialmente em 2022, mas está ativo desde pelo menos 2017. O nome do malware é uma referência ao Berkley Packet Filter (BPF), que é utilizado de forma (abusiva) para obter instruções e contornar firewalls.
O design do BPFDoor permite que agentes de ameaças permaneçam despercebidos por longos períodos em um sistema Linux comprometido. Sua principal função é permitir que os agentes de ameaças visualizem todo o tráfego de rede, encontrem vulnerabilidades e enviem código remoto através de canais não filtrados e desbloqueados.
Além disso, o BPFDoor tem a capacidade de mesclar tráfego malicioso com o tráfego legítimo, tornando a detecção e correção ainda mais desafiadoras.
No entanto, como nenhum antivírus está sinalizando o BPFDoor como malicioso, a única maneira de detectá-lo é através da vigilância rigorosa do tráfego e dos registros de rede, como mencionado no BleepingComputer. Os administradores de sistema devem utilizar soluções de proteção de terminal avançadas e monitorar a integridade do arquivo em “/var/run/initd.lock”, pois é nesse local que o BPFDoor cria e bloqueia um tempo de execução antes de se ramificar para ser executado como um processo filho.
De acordo com o TheHackerNews, o BPFDoor é comumente utilizado pelo grupo de ameaças conhecido como Red Menshen, que tem ligações com a China. Esse grupo, ativo desde 2021, direciona principalmente sistemas operacionais Linux pertencentes a provedores de telecomunicações no Oriente Médio e na Ásia, além de organizações governamentais, empresas de educação e empresas de logística, conforme relatado pela Malpedia.
Após obter acesso inicial, o grupo utiliza diversas ferramentas personalizadas, como Mangzamel, Gh0st, Mimikatz e Metasplit.
Essas ferramentas personalizadas são empregadas pelo grupo Red Menshen para realizar suas atividades maliciosas após obter acesso inicial a um sistema comprometido. Entre essas ferramentas estão o Mangzamel, Gh0st, Mimikatz e Metasplit.
O Red Menshen, associado à China, tem como alvo principal sistemas operacionais Linux pertencentes a provedores de telecomunicações no Oriente Médio e na Ásia. Além disso, eles direcionam suas ações contra organizações governamentais, empresas de educação e empresas de logística, conforme informações da Malpedia.
O BPFDoor, sendo uma nova variante do malware, apresenta-se como um desafio para os sistemas de segurança. Sua capacidade de se camuflar entre o tráfego de rede legítimo torna sua detecção e correção ainda mais complexas. Atualmente, nenhum programa antivírus está identificando o BPFDoor como uma ameaça, o que requer dos administradores de sistema uma vigilância constante e a utilização de soluções avançadas de proteção de terminal.
A fim de monitorar o BPFDoor, é essencial que os administradores de sistema realizem uma análise minuciosa do tráfego e dos registros de rede. Além disso, é recomendado monitorar a integridade do arquivo em “/var/run/initd.lock”, local onde o BPFDoor cria e bloqueia um tempo de execução antes de se ramificar como um processo filho.
A descoberta dessa nova variante do malware BPFDoor destaca a importância da atualização constante das medidas de segurança e da conscientização sobre as ameaças cibernéticas. Compreender as táticas e ferramentas utilizadas pelos grupos de ameaças, como o Red Menshen, é fundamental para proteger sistemas e dados sensíveis.
Leia também: Wine 7.16 melhora a compatibilidade de jogos do Windows no Linux