Victory Backdoor

Uma nova ameaça de backdoor foi detectada como parte de uma campanha de espionagem em andamento, visando entidades no sudeste da Ásia. O malware foi denominado Victory Backdoor pelos pesquisadores que analisaram a sua funcionalidade. De acordo com suas descobertas, o Victory Backdoor foi projetado para coletar informações, enquanto também mantém um canal de acesso constante aos dispositivos comprometidos. A funcionalidade do malware inclui fazer capturas de tela arbitrárias, manipular o sistema de arquivos - ler, renomear, criar ou excluir arquivos no dispositivo, desviar dados de nível superior de janelas abertas e desligar o computador, se necessário.

Anos de Desenvolvimento

Embora o Victory Backdoor seja uma ameaça de malware exclusiva, os pesquisadores foram capazes de descobrir sobreposições significativas entre ele e os arquivos enviados ao VirusTotal em 2018. A forma como a funcionalidade do backdoor é implementada é idêntica efetivamente, mas as semelhanças não param por aí. Os arquivos denominados MClient por seu autor e o backdoor do Victory também usam o mesmo formato em seu método de conexão, além de possuir chaves XOR idênticas. Isto

Tornou-se aparente rapidamente que os arquivos MClient eram versões de teste anteriores do malware, mostrando que seus criadores mal-intencionados gastaram anos em seu desenvolvimento.

As versões anteriores incluem um conjunto expandido de funcionalidades nefastas. Por exemplo, eles possuíam recursos de keylogging, algo que está faltando no Victory Backdoor. Esse fato levou os pesquisadores à conclusão de que os hackers podem ter decidido dividir os recursos de suas versões iniciais de malware em vários módulos separados. Isso torna a detecção mais difícil, ao mesmo tempo que dificulta as tentativas de análise. Como tal, módulos maliciosos adicionais ainda não descobertos podem muito bem ser usados para escalar os ataques contra os alvos escolhidos.