Um novo framework avançado de malware para Linux, chamado VoidLink, foi recentemente descoberto e tem como alvo ambientes nativos de nuvem.
Ele oferece aos atacantes um conjunto customizado de ferramentas, incluindo loaders, implantes, rootkits e plugins, projetados para infraestruturas modernas em nuvem.
Desenvolvido em Zig, Go e C, o código do VoidLink indica estar em desenvolvimento ativo, com documentação extensa, sugerindo um possível uso comercial.
Analistas de malware da empresa de cibersegurança Check Point afirmam que o VoidLink é capaz de identificar se está rodando em ambientes Kubernetes ou Docker e ajustar seu comportamento conforme o contexto.
No entanto, nenhuma infecção ativa foi confirmada até o momento, o que reforça a hipótese de que o malware pode ter sido criado como produto comercial ou framework para um cliente específico.
Os pesquisadores também apontam que o desenvolvimento parece ser conduzido por programadores de língua chinesa, com base na configuração de idioma da interface e nas otimizações observadas.
O VoidLink é um framework modular de pós-exploração para sistemas Linux que permite aos invasores controlar máquinas comprometidas de forma discreta, estender funcionalidades via plugins e adaptar seu comportamento conforme o ambiente de nuvem e containers onde está instalado.
Quando ativado, o implante verifica se está operando dentro de Docker ou Kubernetes e consulta metadados da instância em provedores como AWS, GCP, Azure, Alibaba e Tencent, com planos futuros para incluir Huawei, DigitalOcean e Vultr.
Ele coleta informações detalhadas do sistema, como versão do kernel, hipervisor, processos ativos e estado da rede, além de detectar ferramentas como EDRs (endpoint detection and response), mecanismos de hardening do kernel e softwares de monitoramento.
Todas essas informações são enviadas ao operador junto com uma pontuação de risco, calculada com base nas soluções de segurança detectadas.
Isso permite ajustar o comportamento dos módulos, por exemplo, realizando varreduras de portas mais lentas ou aumentando os intervalos entre beacons para manter o sigilo.
A comunicação entre o implante e o atacante ocorre via múltiplos protocolos, incluindo HTTP, WebSocket, DNS tunneling e ICMP, encapsulados em uma camada de mensagens criptografadas chamada ‘VoidStream’.
Essa técnica camufla o tráfego, dando a aparência de atividade normal na web ou APIs.
Os plugins do VoidLink são arquivos ELF carregados diretamente na memória, que fazem chamadas às APIs do framework via syscalls.
Segundo a análise da Check Point, a configuração padrão do VoidLink utiliza 35 plugins que realizam tarefas como:
- Reconhecimento de sistema, usuários, processos e rede
- Enumeração em nuvem e containers, com ferramentas para escape desses ambientes
- Coleta de credenciais (chaves SSH, credenciais Git, tokens, chaves API e dados de navegadores)
- Movimento lateral (shells, encaminhamento e tunelamento de portas e propagação via SSH)
- Mecanismos de persistência (uso abusivo do dynamic linker, cron jobs e serviços do sistema)
- Anti-forense (eliminação de logs, limpeza de histórico e timestomping)
Para garantir que suas atividades passem despercebidas, o VoidLink utiliza módulos rootkit que escondem processos, arquivos, sockets de rede e até o próprio rootkit.
Dependendo da versão do kernel do sistema-alvo, pode empregar técnicas como LD_PRELOAD (em versões mais antigas), LKMs (loadable kernel modules) ou rootkits baseados em eBPF.
Além disso, o framework detecta depuradores presentes no ambiente, emprega criptografia de código em tempo de execução e realiza checagens de integridade para identificar hooks ou qualquer tipo de manipulação, implementando avançados mecanismos anti-análise.
Caso detecte alguma adulteração, o implante se autoexclui, enquanto os módulos anti-forense apagam logs, histórico de shell, registros de login e sobrescrevem de forma segura todos os arquivos deixados no sistema, minimizando a exposição a investigações.
Os pesquisadores da Check Point destacam que o VoidLink foi desenvolvido com foco em furtividade, automatizando a evasão ao máximo e realizando um perfil minucioso do ambiente-alvo antes de definir a melhor estratégia de ataque.
Eles afirmam que o framework “é muito mais avançado que malwares comuns para Linux” e resulta do trabalho de desenvolvedores com “alto nível de expertise técnica”, habilidosos em múltiplas linguagens de programação.
“A quantidade de recursos e sua arquitetura modular indicam que os autores tinham a intenção de criar um framework sofisticado, moderno e com ampla gama de funcionalidades”, concluem os especialistas.
No relatório divulgado, a Check Point disponibiliza um conjunto de indicadores de comprometimento (IOCs), detalhes técnicos dos módulos e a lista completa dos plugins identificados no VoidLink.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...