Stitch Backdoor

Stitch é um backdoor de código aberto codificado em Python que foi criado para fins educacionais e de pesquisa. Ainda assim, o programa é perfeitamente capaz de realizar todas as atividades usuais observadas em ameaças de malware RAT (Remote Access Trojan) semelhantes. O Stitch Backdoor tem recursos de plataforma cruzada, bem como a opção para os hackers criarem cargas personalizadas que funcionarão apenas no sistema operacional no qual foram construídos.

Entre as funções de plataforma cruzada mais notáveis realizadas pelo Stitch Backdoor está o despejo de senhas do Chrome, habilitando ou desabilitando certos serviços, tais como o Remote Desktop Protocol (RDP), User Account Control (UAC) e Windows Defender, a criação de janelas pop-up personalizadas, a coleta de informações sobre as unidades conectadas e o resumo de alguns valores do Registro. Além disso, pode assumir o controle de qualquer câmera conectada e tirar fotos. O Stitch também possui funções específicas que estão disponíveis dependendo do sistema operacional da vítima - Windows, Mac OSX ou Linux. Toda a comunicação entre o host de ataque e a vítima é criptografada com o algoritmo de criptografia AES.

O Stitch fez Parte da Campanha de Ataque Water-Hole

Os pesquisadores de ciber-segurança observaram versões modificadas do Stitch Backdoor sendo lançadas em um ataque do tipo water-hole executado por um grupo de hackers que foram chamados de Holy Water APT. A campanha teve como alvo um grupo étnico e religioso asiático. Para atender melhor às suas necessidades, os criminosos expandiram o código subjacente do Stitch para incluir o download de um programa legítimo de instalação do Adobe Flash. Uma capacidade de atualização automática também foi implementada conectando-se a ubntrooters.serveuser.com na inicialização. O Holy Water APT também melhorou a persistência do malware aproveitando as tarefas agendadas com uma tarefa de logon chamada Adobe Updater, que levou ao C:\ProgramData\package\AdobeService.exe.