O grupo de hackers iraniano MuddyWater voltou a chamar atenção ao usar uma nova backdoor chamada UDPGangster, que utiliza o protocolo UDP (User Datagram Protocol) para operações de comando e controle (C2).
A ameaça tem como alvo usuários na Turquia, Israel e Azerbaijão, segundo relatório divulgado pelo Fortinet FortiGuard Labs.
De acordo com a pesquisadora de segurança Cara Lin, “esse malware permite o controle remoto dos sistemas comprometidos, possibilitando que os invasores executem comandos, exfiltrar arquivos e implantem payloads adicionais, tudo por meio de canais UDP que escapam das defesas tradicionais de rede”.
A cadeia de ataque começa com spear phishing, no qual documentos Microsoft Word contendo armadilhas são enviados às vítimas.
Quando as macros são ativadas, um payload malicioso é executado.
Algumas mensagens se passam pelo Ministério das Relações Exteriores da República Turca do Norte de Chipre, convidando para um seminário online intitulado “Eleições Presidenciais e Resultados”.
Os e-mails trazem anexos em ZIP (“seminer.zip”) e um documento Word (“seminer.doc”).
Dentro do arquivo ZIP está o mesmo documento Word, que solicita a ativação de macros para executar, de forma oculta, um código VBA malicioso.
Esse script tenta esconder qualquer indício da infecção exibindo uma imagem falsa em hebraico, retirada do provedor de telecomunicações israelense Bezeq, sobre supostas interrupções programadas para a primeira semana de novembro de 2025 em várias cidades do país.
Cara Lin detalha: “a macro usa o evento Document_Open() para rodar automaticamente, decodificando dados em Base64 de um campo oculto do formulário e salvando o conteúdo decodificado em C:\Users\Public\ui.txt.
Em seguida, esse arquivo é executado via CreateProcessA da API do Windows, iniciando o payload UDPGangster.”
Para garantir persistência, o UDPGangster realiza modificações no Registro do Windows e apresenta diversas técnicas anti-análise para dificultar o trabalho de pesquisadores de segurança.
Entre elas estão:
- Detectar se o processo está sendo depurado;
- Analisar configurações da CPU em busca de ambientes sandbox ou máquinas virtuais;
- Verificar se o sistema possui menos de 2.048 MB de RAM;
- Conferir se o prefixo do endereço MAC corresponde a fornecedores de virtualização conhecidos;
- Confirmar se o computador faz parte de um grupo de trabalho padrão do Windows, e não de um domínio;
- Monitorar processos como VBoxService.exe, VBoxTray.exe, vmware.exe e vmtoolsd.exe;
- Buscar assinaturas de virtualização no Registro, como VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE e Xen;
- Procurar ferramentas conhecidas de sandbox ou debugging;
- Identificar se o arquivo está sendo executado em ambiente de análise.
Somente se todas essas condições forem atendidas, o malware coleta informações do sistema e se conecta via UDP na porta 1269 ao servidor externo “157.20.182[.]75” para exfiltrar dados, executar comandos pelo “cmd.exe”, transferir arquivos, atualizar o servidor C2 e lançar payloads adicionais.
“UDPGangster utiliza droppers baseados em macros para o acesso inicial e emprega rotinas avançadas anti-análise para escapar da detecção”, alerta Lin.
“Usuários e empresas devem redobrar a atenção ao lidar com documentos não solicitados, especialmente os que pedem ativação de macros.”
O incidente ocorre poucos dias após a ESET atribuir ao mesmo grupo MuddyWater ataques contra setores acadêmico, de engenharia, governo local, manufatura, tecnologia, transporte e utilities em Israel, que usaram outra backdoor conhecida como MuddyViper.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...