RShell Malware

Os cibercriminosos chineses foram descobertos usando uma versão armada de um aplicativo de mensagens como forma de implantar uma ameaça de backdoor chamada RShell. A ameaça backdoor tem versões para sistemas Linux e macOS. Detalhes sobre as operações de ataque e o malware RShell foram divulgados em relatórios de pesquisadores de segurança. Segundo eles, o RShell faz parte do ameaçador arsenal do grupo APT (Advanced Persistent Threat) rastreado como APT27, LuckyMouse, IronTiger e Emissary Panda. Esse grupo específico de crimes cibernéticos está ativo há mais de uma década e está focado principalmente em operações de espionagem cibernética.

Os hackers usaram uma versão trojanizada do aplicativo de mensagens eletrônica 'MìMì' ('mimi' - 秘秘 - 'secret') que é anunciado como disponível para plataformas Android, iOS, Windows e macOS. Os pesquisadores descobriram uma versão para Linux, também entregando o malware RShell. Quando a versão corrompida do macOS MiMi é ativada, ela primeiro verifica se o ambiente corresponde aos parâmetros necessários - macOS (Darwin). Depois, ele buscará uma carga útil RShell de seu servidor Command-and-Control (C2, C&C), gravará na pasta temp, concederá permissão de execução e finalmente a executará.

A análise do RShell revelou que é uma ameaça de backdoor equipada com os recursos típicos associados a esse tipo de malware. As primeiras amostras descobertas pela TrendMicro são de junho de 2021. O RShell é fornecido no formato Mach-O em sistemas macOS e ELF em plataformas Linux. Quando ativada no dispositivo da vítima, a ameaça coletará várias informações do sistema, incluindo nome do computador, endereço IP, nome de usuário, versão etc. Todos os dados coletados serão compactados em uma mensagem JSON binária e transmitidos ao servidor C2 de forma não criptografada TCP. Os agentes de ameaças do APT podem instruir o RShell a executar comandos no shell, ler arquivos, listar os arquivos e diretórios no sistema de arquivos raiz, gravar dados em arquivos especificados e muito mais.