Threat Database Backdoors WaterDrop Malware

WaterDrop Malware

O malware WaterDrop é parte de vários binários corrompidos recentemente descobertos, usados em ataques que infectam instalações do Linux. A família desse malware foi descoberta pela primeira vez pelos pesquisadores de infosec no Alien Labs da AT&T. A análise revelou que todas as ameaças usaram um backdoor de código aberto chamado Prism como base, sobre a qual as modificações foram introduzidas lentamente pelos invasores.

As capacidades ameaçadoras do WaterDrop são surpreendentemente básicas. Ao mesmo tempo, carece de técnicas sofisticadas de anti-detecção ou ofuscação. Na verdade, os pesquisadores afirmam que o WaterDrop contém várias características facilmente identificáveis. Sem mencionar que ele se comunica com a infraestrutura Command-and-Control (C2, C&C) via HTTP de texto simples. No entanto, a julgar pela eficácia da campanha de ataque, poucas pessoas teriam adivinhado que esse é o caso.

O domínio relacionado à campanha do WaterDrop foi registrado em 18 de agosto de 2017 e, quase 4 anos depois, ainda está online e operacional. Apesar do uso prolongado, o WaterDrop conseguiu atingir e manter uma pontuação de detecção quase zero, o que significa que foi capaz de voar sob o radar por anos sem ser notado. Até agora, a explicação mais plausível é que a alta taxa de sucesso foi alcançada mantendo a campanha de ataque em uma escala extremamente pequena.

Os cibercriminosos por trás do WaterDrop e sua família de malware associada têm atualizado seu kit de ferramentas de ameaças lentamente e devem continuar suas atividades.

Tendendo

Mais visto

Carregando...