Pesquisadores da ESET descobriram uma nova versão de uma das famílias de malware mais antigas do grupo Turla: o backdoor ComRAT. Turla, também conhecido como Snake, é um grupo de espionagem cibernética que atua há mais de dez anos.
A característica mais marcante do novo backdoor do Turla é que ele usa a interface do usuário do Gmail para receber comandos e extrair informações. O ComRAT rouba documentos confidenciais e, desde 2017, atacou pelo menos três entidades governamentais.
A ESET informa que encontrou indicações de que a versão mais recente do ComRAT ainda estava em uso no início do ano, demonstrando que o grupo de cibercriminosos permanece ativo e representa uma ameaça, especialmente para militares e diplomatas.
Como funciona
O objetivo principal do ComRAT é roubar documentos confidenciais. Em um caso, seus operadores implantaram um executável .NET para interagir com o banco de dados primário do MS SQL Server da vítima, que continha documentos da organização. Os operadores desse malware usavam serviços de nuvem pública, como o OneDrive ou o 4shared, para extrair os dados. A versão mais recente do backdoor do Turla também pode executar outras ações em computadores comprometidos, como executar programas ou extrair arquivos.
O fato de que criminosos cibernéticos estão tentando fugir de softwares de segurança é preocupante. "Isso mostra o nível de sofisticação do grupo e sua intenção de permanecer em máquinas infectadas por um longo tempo", explica Matthieu Faou, responsável por pesquisas sobre o grupo Turla há anos. "Além disso, a versão mais recente do ComRAT, graças ao uso da interface da web do Gmail, é capaz de superar alguns dos controles de segurança, pois não está hospedado em um domínio malicioso", acrescenta Faou.
Velho conhecido
A ESET descobriu a atualização de backdoor em 2017. O malware usa uma base de código completamente nova e é muito mais complexa do que seus antecessores. Os pesquisadores da ESET encontraram a interação backdoor mais recente compilada em novembro de 2019.
"Com base no tipo de vítimas e em outras amostras de malware encontradas nas mesmas máquinas comprometidas, acreditamos que a Turla é o único grupo que usa o ComRAT", diz Faou.
O ComRAT também é conhecido como Agent.BTZ, um backdoor malicioso que se tornou popular após ser usado contra o Exército dos EUA em 2008. A primeira versão deste malware, provavelmente lançada em 2007, mostrava recursos de worms de computador e era distribuída via unidades removíveis.
