Uma variante Linux do backdoor GoGra está usando a infraestrutura legítima da Microsoft e se apoiando em uma caixa de entrada do Outlook para entregar payloads de forma discreta.
O malware foi desenvolvido pelo grupo de espionagem Harvester, considerado apoiado por um Estado, e é visto como altamente evasivo por usar a Microsoft Graph API para acessar dados da mailbox.
O Harvester está ativo desde pelo menos 2021 e é conhecido por empregar ferramentas maliciosas personalizadas, como backdoors e loaders, em campanhas contra organizações de telecom, governo e TI no sul da Ásia.
Pesquisadores da Symantec analisaram amostras do novo backdoor GoGra para Linux, obtidas no VirusTotal, e descobriram que o acesso inicial é obtido ao induzir as vítimas a executar binários ELF disfarçados de arquivos PDF.
Em relatório divulgado nesta terça-feira, 22 de abril de 2025, a Symantec informou que a versão Linux do GoGra usa credenciais hardcoded do Azure Active Directory (AD) para se autenticar na nuvem da Microsoft e obter tokens OAuth2.
Isso permite que o malware interaja com caixas de entrada do Outlook por meio da Microsoft Graph API.
Na fase inicial do ataque, um dropper em Go implanta um payload i386 e estabelece persistence por meio do systemd e de uma entrada de autostart do XDG, se passando pelo legítimo monitor de sistema Conky para Linux e BSD.
Segundo os pesquisadores, o malware verifica a cada dois segundos uma pasta da mailbox do Outlook chamada “Zomato Pizza”.
Ele usa consultas OData para identificar e-mails recebidos com linhas de assunto que começam com “Input”.
O malware descriptografa o conteúdo dessas mensagens, que está codificado em base64 e criptografado com AES-CBC, e executa os comandos resultantes localmente.
Os resultados da execução são então criptografados com AES e devolvidos ao operador por meio de e-mails de resposta com o assunto “Output”.
Para reduzir a visibilidade em análises forenses, o malware envia uma requisição HTTP DELETE para remover o e-mail original com o comando após o processamento.
A Symantec destaca que a variante Linux do GoGra compartilha uma base de código quase idêntica à versão para Windows, incluindo os mesmos erros de digitação em strings e nomes de funções, além da mesma chave AES.
Isso indica fortemente que as duas amostras foram criadas pelo mesmo desenvolvedor, apontando para o grupo de ameaças Harvester.
Para a Symantec, o surgimento de uma variante Linux do GoGra mostra que o Harvester está ampliando seu conjunto de ferramentas e seu escopo de alvos para alcançar uma gama mais ampla de sistemas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...