Fire Chili Rootkit

O nefasto grupo chinês APT (Advanced Persistent Threat) Deep Panda foi pego usando uma nova e ameaçadora adição ao seu arsenal. Chamado de Fire Chili, o malware se enquadra na categoria de rootkit e visa infectar sistemas Windows. De acordo com o relatório divulgado por analistas de segurança cibernética, esse rootkit é entregue aos servidores VMware Horizon por meio da exploração Log4Shell e é capaz de afetar as versões do Windows até o Windows 10 Creators Update, lançado em abril de 2017.

Os rootkits são tipos de malware extremamente ameaçadores, pois podem penetrar profundamente nos sistemas comprometidos e executar ações intrusivas no nível mais baixo, ignorando várias verificações de segurança e medidas antimalware. Para evitar ser detectado por ferramentas antivírus durante a infecção inicial, o Fire Chili está equipado com certificados digitais válidos pertencentes à Frotburn Studios (uma empresa desenvolvedora de jogos) ou à Comodo (uma desenvolvedora de software de segurança). Os pesquisadores acreditam que os certificados foram desviados de seus proprietários pretendidos.

Quando iniciado, o Fire Chili realiza uma série de testes básicos de sistema na tentativa de detectar sinais de virtualização ou ambientes sandbox. A ameaça também garante que as estruturas e objetos do kernel alvo estejam presentes no sistema. O principal objetivo do malware é manter as outras ações intrusivas dos hackers escondidas. O Fire Chili pode mascarar operações de arquivos, processos, adições ao sistema de registro e conexões de rede ilegítimas de serem notadas por usuários ou ferramentas de software de segurança. Ele arquiva isso usando IOCTLs (chamadas de sistema de controle de entrada/saída) carregando os artefatos corrompidos que podem ser configurados dinamicamente pelos agentes da ameaça.