Pesquisadores da ESET, empresa líder em detecção proativa de ameaças, descobriram uma nova versão de uma das famílias de malware mais antigas do grupo Turla: o backdoor ComRAT. Turla, também conhecido como Snake, é um grupo de espionagem cibernética que atua há mais de dez anos.

A característica mais marcante do novo backdoor do Turla é que ele usa a interface do usuário do Gmail para receber comandos e extrair informações. O ComRAT rouba documentos confidenciais e, desde 2017, atacou pelo menos três entidades governamentais. A ESET encontrou indicações de que a versão mais recente do ComRAT ainda estava em uso no início do ano, demonstrando que o grupo de cibercriminosos permanece ativo e representa uma ameaça, especialmente para militares e diplomatas.

Como funciona
O objetivo principal do ComRAT é roubar documentos confidenciais. Em um caso, seus operadores implantaram um executável .NET para interagir com o banco de dados primário do MS SQL Server da vítima, que continha documentos da organização. Os operadores desse malware usavam serviços de nuvem pública, como o OneDrive ou o 4shared, para extrair os dados. A versão mais recente do backdoor do Turla também pode executar outras ações em computadores comprometidos, como executar programas ou extrair arquivos.

O fato de que criminosos cibernéticos estão tentando fugir de softwares de segurança é preocupante. \"Isso mostra o nível de sofisticação do grupo e sua intenção de permanecer em máquinas infectadas por um longo tempo\", explica Matthieu Faou, responsável por pesquisas sobre o grupo Turla há anos. \"Além disso, a versão mais recente do ComRAT, graças ao uso da interface da web do Gmail, é capaz de superar alguns dos controles de segurança, pois não está hospedado em um domínio malicioso\", acrescenta Faou.

Velho conhecido
A ESET descobriu a atualização de backdoor em 2017. O malware usa uma base de código completamente nova e é muito mais complexa do que seus antecessores. Os pesquisadores da ESET encontraram a interação backdoor mais recente compilada em novembro de 2019.

\"Com base no tipo de vítimas e em outras amostras de malware encontradas nas mesmas máquinas comprometidas, acreditamos que a Turla é o único grupo que usa o ComRAT\", diz Faou.

O ComRAT também é conhecido como Agent.BTZ, um backdoor malicioso que se tornou popular após ser usado contra o Exército dos EUA em 2008. A primeira versão deste malware, provavelmente lançada em 2007, mostrava recursos de worms de computador e era distribuída via unidades removíveis.

Para saber mais sobre segurança cibernética, entre no portal de notícias da ESET, o WeLiveSecurity:
https://www.welivesecurity.com/br/