Pesquisadores de cybersecurity divulgaram uma nova backdoor stealthy chamada MystRodX, que conta com uma variedade de recursos para capturar dados sensíveis de sistemas comprometidos.
“MystRodX é uma backdoor típica implementada em C++, suportando funcionalidades como file management, port forwarding, reverse shell e socket management”, afirmou o QiAnXin XLab em um relatório publicado na semana passada.
Em comparação com backdoors tradicionais, MystRodX se destaca por sua stealth e flexibilidade.
MystRodX, também conhecido como ChronosRAT, foi documentado pela primeira vez pela Palo Alto Networks Unit 42 no mês passado, em conexão com uma atividade de ameaça chamada CL-STA-0969, que, segundo a empresa, apresenta sobreposições com um grupo de ciberespionagem ligado à China, apelidado de Liminal Panda.
A stealth do malware se deve ao uso de diversos níveis de encryption para ocultar o source code e os payloads, enquanto sua flexibilidade permite ativar dinamicamente diferentes funções dependendo da configuração, como escolher entre TCP ou HTTP para a comunicação de rede, ou optar por plaintext ou AES encryption para proteger o tráfego.
MystRodX também suporta um modo chamado wake-up mode, que possibilita seu funcionamento como uma backdoor passiva acionada após o recebimento de pacotes de rede DNS ou ICMP especialmente criados.
Há evidências que indicam que o malware pode existir desde pelo menos janeiro de 2024, de acordo com um timestamp de ativação encontrado na configuração.
“O valor magic é verificado, MystRodX estabelece comunicação com o C2 [command-and-control] usando o protocolo especificado e aguarda novos comandos”, explicaram os pesquisadores do XLab.
Diferentemente de backdoors stealth mais conhecidos, como o SYNful Knock, que manipula campos do header TCP para esconder comandos, MystRodX utiliza uma abordagem mais simples e eficaz: ele oculta as instruções de ativação diretamente no payload dos pacotes ICMP ou dentro dos domínios das consultas DNS.
O malware é entregue por meio de um dropper que realiza diversas verificações relacionadas a debugger e machine virtualization para determinar se o processo atual está sendo depurado ou executado em um ambiente virtualizado.
Após essa validação, o payload da próxima etapa é descriptografado, contendo três componentes:
- daytime, um launcher responsável por iniciar o chargen;
- chargen, o componente da backdoor MystRodX; e
- busybox.
Quando executado, MystRodX monitora continuamente o processo daytime e, caso ele não esteja rodando, o inicia imediatamente.
A configuração, que é criptografada usando o algoritmo AES, contém informações sobre o servidor C2, o tipo de backdoor e as portas principais e secundárias do C2.
“Quando o Backdoor Type está configurado como 1, MystRodX entra no modo passivo e aguarda uma mensagem de ativação”, afirmou o XLab.
Quando o valor do Backdoor Type não é 1, MystRodX entra no modo ativo e estabelece comunicação com o C2 especificado na configuração, aguardando a execução dos comandos recebidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...