Saitama Backdoor

Os pesquisadores de segurança cibernética descobriram uma nova ameaça de backdoor que está sendo espalhada por meio de anexos de e-mail armados. Chamada de Saitama Backdoor, o objetivo da ameaça é estabelecer uma base no sistema de destino e permitir que os invasores expandam ainda mais seu alcance com cargas úteis do próximo estágio.

A ameaça Saitama Backdoor é escrita em .NET e explora o protocolo DNS, como meio de comunicação com seus servidores de Comando e Controle (C2, C&C). Uma vez implantada no sistema, a ameaça pode reconhecer e executar mais de 20 comandos recebidos dos invasores. Os agentes de ameaças podem utilizar o Saitama para coletar várias informações do sistema, como endereço IP e versão do sistema operacional, bem como detalhes sobre o usuário ativo no momento, incluindo seu grupo e privilégios.

No entanto, a principal funcionalidade do Saitama é a capacidade de manipular o sistema de arquivos no dispositivo violado. A ameaça de malware pode selecionar os arquivos escolhidos e extraí-los para os servidores C2. Inversamente, ele também pode buscar e implantar arquivos adicionais no sistema, incluindo mais cargas úteis de malware. Dependendo do objetivo específico dos invasores, eles podem fornecer coletores de informações mais especializados, ransomware, mineradores de cripto-moeda ou outros tipos de malware no dispositivo da vítima.