MURKYTOUR Backdoor
Em outubro de 2024, um agente de ameaças alinhado ao Irã, o UNC2428, lançou uma campanha de espionagem cibernética visando indivíduos israelenses. Disfarçando-se de recrutadores da empresa israelense de defesa Rafael, o grupo utilizou um esquema de engenharia social com foco em empregos para atrair vítimas. Assim que os indivíduos demonstravam interesse, eram redirecionados para um site fraudulento que imitava o Rafael, onde eram solicitados a baixar uma ferramenta de aplicativo chamada "RafaelConnect.exe".
Índice
Do Interesse à Intrusão: A Cadeia de Distribuição de Malware
A ferramenta baixada era, na verdade, um instalador conhecido como LONEFLEET. Ele apresentava uma interface gráfica de usuário (GUI) projetada para se parecer com um portal legítimo de candidatura a emprego, solicitando dados pessoais e o upload de um currículo. Essa interface aparentemente inofensiva escondia intenções prejudiciais. Após o envio dos dados, um backdoor chamado MURKYTOUR era implantado silenciosamente em segundo plano por meio de um inicializador chamado LEAFPILE, concedendo aos invasores acesso contínuo ao sistema infectado. Essa abordagem destaca o uso estratégico de GUIs pelos agentes de ameaças para disfarçar a execução de malware como atividade inofensiva.
Mais de um Autor: O Cenário Crescente de Ameaças Cibernéticas no Irã
A UNC2428 é apenas uma peça de um quebra-cabeça mais amplo das operações cibernéticas iranianas. A campanha compartilha características com atividades ligadas à Black Shadow, uma entidade acusada pela Diretoria Nacional Cibernética de Israel e que se acredita operar sob a tutela do Ministério de Inteligência e Segurança do Irã (MOIS). Seus alvos abrangem diversos setores em Israel, incluindo:
- Governo e defesa
- Saúde e finanças
- Tecnologia e comunicações
Outro agente, o UNC3313, associado ao grupo MuddyWater, realiza campanhas de spear-phishing desde 2022 e é conhecido por usar ferramentas legítimas de monitoramento remoto para manter o acesso furtivo e persistente. Enquanto isso, o UNC1549 migrou para uma infraestrutura baseada em nuvem para se integrar melhor aos ambientes corporativos e evitar a detecção.
Mestres da Manipulação: O APT42 e Além
O APT42, também conhecido como Charming Kitten, é conhecido por suas sofisticadas técnicas de engenharia social. Este grupo implantou páginas de login falsas, que se passam por grandes plataformas como Google, Microsoft e Yahoo!, para coletar credenciais. Eles usaram plataformas como Google Sites e Dropbox para direcionar as vítimas a essas páginas maliciosas, aumentando ainda mais o seu poder de enganação.
Além disso, o APT34 (OilRig) utilizou backdoors personalizados, como DODGYLAFFA e SPAREPRIZE, em ataques a sistemas do governo iraquiano. No total, especialistas em segurança cibernética identificaram mais de 20 famílias de malware exclusivas, desenvolvidas ou utilizadas por agentes iranianos em diversas operações cibernéticas no Oriente Médio em 2024.
Conclusão: Uma Ameaça Persistente e em Evolução
Os cibercriminosos iranianos demonstraram uma notável evolução tática, combinando manipulação psicológica com sofisticação técnica. Por meio de interfaces gráficas (GUIs), ferramentas legítimas e serviços em nuvem, eles estão refinando sua abordagem para manter o acesso e evitar a detecção, sinalizando um desafio contínuo para os esforços regionais e globais de segurança cibernética.
