DropBook Backdoor

O DropBook Backdoor é uma das duas ameaças de backdoor que estão sendo usadas pelos hackers do MoleRats APT (Advanced Persistent Threat) contra figuras políticas de alto escalão e funcionários do governo no Egito, nos Territórios Palestinos, na Turquia e nos Emirados Árabes Unidos. Operacional desde pelo menos 2012, MoleRats tem mostrado interesse duradouro nas regiões do Oriente Médio e Norte da África. Os hackers geralmente implantam e-mails de phishing que usam documentos que discutem eventos significativos nas regiões selecionadas como uma isca, enganando os usuários para que baixem um arquivo comprometido.

O DropBook Backdoor é uma ameaça baseada no Python compilada com o uso do PyInstaller. Quando totalmente implantada, a ameaça pode executar comandos arbitrários, buscar e instalar programas adicionais e cargas úteis ameaçadoras, executar comandos shell fornecidos pelos hackers. Para confirmar que está infectando um alvo adequado, o DropBook Backdoor verifica a presença do idioma árabe no computador comprometido. Outro parâmetro que pode impedir o backdoor de iniciar é se ele detectar que não há WinRAR instalado no destino. Entre as cargas adicionais sendo descartadas pelo DropBook Backdoor, os pesquisadores da infosec detectaram a estrutura de acesso remoto Quasar RAT. Embora o Quasar seja uma ferramenta ameaçadora, ele oferece aos cibercriminosos uma maneira fácil de estabelecer rotinas de keylogging, espionagem e coleta de dados no sistema infectado.

Os hackers MoleRats incorporaram a tendência crescente entre os agentes de ameaças de usar serviços de nuvem legítimos e plataformas sociais como parte da estrutura de Comando e Controle (C2, C&C) de suas criações de malware rapidamente. Na verdade, o DropBook emprega contas falsas do Facebook ou Simmplenote como um canal de comunicação com o C2. Ao mesmo tempo, ele explora o Dropbox como um armazenamento para os dados roubados do usuário e como um serviço de hospedagem para as cargas adicionais de espionagem.