WaterDrop Malware
O malware WaterDrop é parte de vários binários corrompidos recentemente descobertos, usados em ataques que infectam instalações do Linux. A família desse malware foi descoberta pela primeira vez pelos pesquisadores de infosec no Alien Labs da AT&T. A análise revelou que todas as ameaças usaram um backdoor de código aberto chamado Prism como base, sobre a qual as modificações foram introduzidas lentamente pelos invasores.
As capacidades ameaçadoras do WaterDrop são surpreendentemente básicas. Ao mesmo tempo, carece de técnicas sofisticadas de anti-detecção ou ofuscação. Na verdade, os pesquisadores afirmam que o WaterDrop contém várias características facilmente identificáveis. Sem mencionar que ele se comunica com a infraestrutura Command-and-Control (C2, C&C) via HTTP de texto simples. No entanto, a julgar pela eficácia da campanha de ataque, poucas pessoas teriam adivinhado que esse é o caso.
O domínio relacionado à campanha do WaterDrop foi registrado em 18 de agosto de 2017 e, quase 4 anos depois, ainda está online e operacional. Apesar do uso prolongado, o WaterDrop conseguiu atingir e manter uma pontuação de detecção quase zero, o que significa que foi capaz de voar sob o radar por anos sem ser notado. Até agora, a explicação mais plausível é que a alta taxa de sucesso foi alcançada mantendo a campanha de ataque em uma escala extremamente pequena.
Os cibercriminosos por trás do WaterDrop e sua família de malware associada têm atualizado seu kit de ferramentas de ameaças lentamente e devem continuar suas atividades.