HTTPSnoop Malware

Uma onda de ataques cibernéticos contra prestadores de serviços de telecomunicações no Médio Oriente tem sido associada à implantação de novas estirpes de malware conhecidas como HTTPSnoop e PipeSnoop. Essas ferramentas ameaçadoras permitem que os agentes ameaçadores obtenham controle remoto sobre os dispositivos comprometidos.

O malware HTTPSnoop aproveita drivers e dispositivos do kernel HTTP do Windows para executar conteúdo específico em endpoints infectados por meio de URLs HTTP(S). Por outro lado, o PipeSnoop foi projetado para receber e executar shellcodes arbitrários por meio de um pipe nomeado.

De acordo com um relatório emitido por pesquisadores de segurança cibernética que descobriram com sucesso esta campanha de ataque, tanto o HTTPSnoop quanto o PipeSnoop são atribuídos ao mesmo grupo de intrusão, identificado como ‘ShroudedSnooper’. No entanto, as duas ameaças servem propósitos operacionais distintos em termos do seu nível de infiltração.

O HTTPSnoop Malware Executa Ações Especializadas para os Invasores

HTTPSnoop emprega APIs de baixo nível do Windows para monitorar o tráfego HTTP(S) em um dispositivo infectado, visando especificamente URLs predefinidos. Ao detectar esses URLs, o malware decodifica os dados recebidos codificados em base64 e os executa como um shellcode no host comprometido.

Esse implante inseguro, ativado no sistema alvo por meio de sequestro de DLL, compreende dois componentes principais: primeiro, o shellcode de estágio 2, responsável por configurar um servidor Web backdoor por meio de chamadas de kernel e, segundo, sua configuração.

HTTPSnoop estabelece um loop de escuta, aguarda pacientemente as solicitações HTTP recebidas e processa com eficiência os dados válidos após sua chegada. Nos casos em que os dados recebidos não são válidos, o malware retorna um redirecionamento HTTP 302.

Após a descriptografia do shellcode recebido, ele é imediatamente executado e os resultados da execução são transmitidos de volta aos invasores na forma de blocos de dados codificados em XOR codificados em base64.

Além disso, este implante toma precauções para evitar conflitos com URLs previamente configuradas no servidor, garantindo um bom funcionamento sem conflitos inadvertidos.

Os Especialistas Descobriram Diversas Variantes do HTTPSnoop Malware 

Existem três variantes distintas de HTTPSnoop observadas até agora, cada uma empregando padrões exclusivos de escuta de URL. A primeira variante monitora solicitações gerais baseadas em URL HTTP, enquanto a segunda variante se concentra em URLs que imitam o Microsoft Exchange Web Service. A terceira variante, entretanto, tem como alvo URLs que emulam LBS/OfficeTrack e aplicativos de telefonia do OfficeCore.

Essas variantes foram descobertas em abril de 2023 e, notavelmente, a mais recente tem um número reduzido de URLs que monitora, o que provavelmente aumentará suas capacidades furtivas.

Ao imitar padrões de URL legítimos associados ao Microsoft Exchange Web Services e ao OfficeTrack, essas solicitações fraudulentas se assemelham muito ao tráfego benigno, tornando extremamente difícil distingui-las das solicitações legítimas.

O cenário em constante evolução do malware representa uma ameaça formidável e persistente em nossa era digital. O malware não é apenas um incômodo, mas um adversário formidável, capaz de causar estragos em indivíduos, organizações e até mesmo em nações. Vigilância, educação e medidas robustas de cibersegurança são as nossas melhores defesas contra esta ameaça implacável. Manter-se informado e adotar as melhores práticas em segurança online não é apenas uma escolha; é uma necessidade para salvaguardar as nossas vidas digitais e preservar a integridade do nosso mundo interligado.