BendyBear

Uma nova ameaça de malware altamente sofisticada foi detectada pelos pesquisadores da Palo Alto Networks. A ameaça foi chamada de BendyBear, pois há fortes ligações entre ela e o WaterBear, que é um malware modular usado em uma campanha de ataque que vem acontecendo desde pelo menos 2009. Embora o WaterBear tenha sido classificado como um implante com uma ampla gama de funcionalidades ameaçadoras como manipulação e exfiltração de arquivos, acesso ao shell, captura de tela e muito mais, não chega nem perto dos recursos do BendyBear.

 Os pesquisadores da Infosec que analisaram o BendyBear o descrevem como o malware chinês mais sofisticado que foi criado até agora. Eles também atribuem a liberação da ameaça de malware ao grupo de espionagem cibernética BlackTech, que vem realizando campanhas de ataque contra entidades de tecnologia e agências governamentais no Leste Asiático.

 Quando implantado no computador alvo, o BendyBear atua como um implante de estágio zero com a tarefa de fornecer uma carga útil de estágio seguinte mais robusta. Como tal, o objetivo dos atacantes é manter a ameaça o mais oculta possível. Pode parecer contra-intuitivo que, com mais de 10.000 bytes de código de máquina, o BendyBear seja consideravelmente maior do que outras ameaças do mesmo tipo. O tamanho maior, no entanto, permitiu que os hackers empacotassem sua ferramenta de malware com uma infinidade de técnicas complexas de detecção-prevenção e anti-análise.

 Recursos Sofisticados de Furtividade e Detecção-Evasão

 A ameaça possui uma estrutura altamente maleável. Ele executa verificações de quaisquer sinais de ferramentas anti-depuração e tenta evitar a detecção estática por meio de código independente de posição. Cada sessão de comunicação com a infraestrutura de Comando e Controle (C2, C&C) da campanha é acompanhada pela geração de uma chave de sessão única. Para ocultar o tráfego anormal que cria, o BendyBear tenta se misturar ao tráfego de rede SSL normal usando uma porta comum (443).

Para criptografia, o BendyBear emprega uma cifra RC4 modificada. Outros aspectos exclusivos da ameaça são o código polimórfico que permite alterar sua pegada de tempo de execução durante a execução do código e a capacidade de realizar a verificação do bloco de assinatura. Para armazenar seus dados de configuração, o BendyBear explora uma chave de registro já existente que é ativada por padrão em sistemas Windows 10. Para minimizar ainda mais os rastros que deixa, a ameaça carrega as cargas úteis do próximo estágio na memória do sistema comprometido diretamente, sem soltá-las no disco.

 O BendyBear é excepcionalmente difícil de detectar e as organizações devem permanecer vigilantes para detectar o ataque em seus estágios iniciais.