Pesquisadores em cibersegurança divulgaram detalhes de uma nova família de malware chamada YiBackdoor, que apresenta “sobreposições significativas” no código-fonte com as ameaças conhecidas IcedID e Latrodectus.
Segundo relatório divulgado na terça-feira pela Zscaler ThreatLabz, a relação exata do YiBackdoor ainda não está totalmente esclarecida, mas acredita-se que ele possa ser usado em conjunto com o Latrodectus e o IcedID durante ataques.
“O YiBackdoor é capaz de executar comandos arbitrários, coletar informações do sistema, capturar screenshots e instalar plugins que ampliam dinamicamente suas funcionalidades”, explicou a empresa.
A Zscaler identificou o malware pela primeira vez em junho de 2025 e aponta que ele pode estar atuando como um vetor inicial para ataques subsequentes, facilitando o acesso preliminar usado em campanhas de ransomware.
Até o momento, as detecções do YiBackdoor são limitadas, sugerindo que o malware ainda está em fase de desenvolvimento ou teste.
Devido às semelhanças com o IcedID e o Latrodectus, os pesquisadores avaliam com confiança média a alta que o novo malware é obra dos mesmos desenvolvedores responsáveis pelas outras duas ameaças.
Vale destacar que o Latrodectus é considerado um sucessor do IcedID.
O YiBackdoor incorpora técnicas básicas de anti-análise para evitar ambientes virtualizados e sandboxes, além de ter a capacidade de injetar sua funcionalidade principal no processo “svchost.exe”.
A persistência no sistema é mantida por meio da chave de registro Windows Run.
“Ao ser executado, o YiBackdoor copia a si mesmo (um DLL malicioso) para uma pasta recém-criada com nome aleatório”, disse a Zscaler.
“Em seguida, adiciona uma entrada no registro com regsvr32.exe apontando para esse local, usando um nome derivado por um algoritmo pseudoaleatório, e então se apaga para dificultar a análise forense.”
Dentro do malware há uma configuração criptografada embutida que fornece o endereço do servidor de comando e controle (C2), com o qual ele se comunica via respostas HTTP para receber comandos, como:
- systeminfo: coleta metadados do sistema;
- screen: captura uma screenshot;
- CMD: executa comandos em cmd.exe;
- PWS: executa comandos via PowerShell;
- plugin: envia comandos para plugins instalados e retorna resultados;
- task: inicializa e executa novos plugins codificados em Base64 e criptografados.
A análise da Zscaler revelou diversos pontos em comum entre o YiBackdoor, IcedID e Latrodectus, como o método de injeção de código, o formato e tamanho da chave para descriptografar a configuração e as rotinas usadas para decriptar as configurações e plugins.
“O YiBackdoor possui funcionalidades limitadas por padrão, mas atores maliciosos podem expandir seus recursos por meio da implantação de plugins adicionais”, afirmou a Zscaler.
“Dado o número restrito de implantações até agora, é provável que ele ainda esteja em fase de desenvolvimento ou teste.”
Novas versões do ZLoader: Enquanto isso, a Zscaler também analisou duas novas versões do ZLoader (também conhecido como DELoader, Terdot ou Silent Night), numeradas 2.11.6.0 e 2.13.7.0, que trazem melhorias na ofuscação de código, nas comunicações de rede, nas técnicas de anti-análise e nos mecanismos de evasão.
Entre as novidades estão comandos para descoberta de rede baseados em LDAP, que podem ser usados para reconhecimento da rede e movimentação lateral, além de um protocolo de rede DNS aprimorado, que inclui criptografia customizada e suporte opcional a WebSockets.
Os ataques com esses loaders tornaram-se mais precisos e direcionados, sendo aplicados a um número reduzido de alvos, diferente dos métodos mais indiscriminados do passado.
“O ZLoader 2.13.7.0 apresenta atualizações no protocolo customizado de túnel DNS para comunicações C2, com suporte adicional para WebSockets”, informou a Zscaler.
“A evolução contínua das estratégias de anti-análise reforça o uso de métodos inovadores para evitar sua detecção.”
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...