PyMicropsia Malware
O PyMicropsia Malware é o nome dado pelos pesquisadores da infosec a uma nova cepa de malware de coleta de dados observada como parte das operações ameaçadoras do AridViper, um grupo de ameaças de hackers que tem sido alvo de organizações predominantemente do Oriente Médio. A ameaça, e a razão de seu nome, tem fortes ligações com as ferramentas de ameaça anteriores do AridViper da família Micropsia, como sobreposições de código e semelhanças em seu comportamento e na infraestrutura de comando e controle.
A ameaça possui uma ampla gama de recursos de coleta de dados. Uma vez totalmente estabelecido no sistema do computador comprometido, o PyMicropsia pode coletar arquivos Outlook.OST ao mesmo tempo que é capaz de matar ou desabilitar processos do Outlook. Os arquivos OST no Outlook permitem que os usuários trabalhem em um ambiente offline com qualquer uma das alterações feitas sendo sincronizada com o servidor Exchange na próxima vez que o usuário ficar online. A ameaça pode extrair contatos, tarefas, mensagens, dados de calendário e outras informações de conta desses arquivos. Além disso, a ameaça também pode comprometer e coletar credenciais do navegador.
As capacidades ameaçadoras do PyMicropsia não param por aí, no entanto. Os hackers do AridViper equiparam o malware com uma impressionante variedade de funcionalidades adicionais de ameaça. A ameaça pode excluir ou exfiltrar arquivos, buscar e baixar cargas adicionais, fazer capturas de tela, estabelecer rotinas de keylogging, verificar drives USB em busca de informações, coletar informações de listagem e reinicializar o sistema infectado. Por meio de qualquer microfone conectado ao computador, o PyMicropsia também pode iniciar a gravação de áudio.
Embora os hackers do AridViper tenham almejado os sistemas Windows apenas de forma consistente, os snippers de código não utilizados encontrados no PyMicropsia indicam que eles podem estar procurando expandir atualmente. Os pesquisadores da Infosec descobriram que várias seções de código encontradas dentro do PyMicropsia indicam que a ameaça pode se tornar ainda mais poderosa em breve. As funções são encarregadas de realizar uma verificação para POSIX, Portable Operating System Interface e Darwin, um sistema operacional de código aberto semelhante ao Unix.
