Backdoor de prateleira do Tor agora é favorito dos operadores de ransomware

SystemBC está deixando sua marca como uma ferramenta popular usada em importantes campanhas de ransomware

Um Trojan de Acesso Remoto (Remote Access Trojan – RAT) à venda em fóruns clandestinos evoluiu para tirar proveito do Tor ao manter a persistência em máquinas infectadas.

Na quinta-feira, Sivagnanam Gn e Sean Gallagher, da Sophos Labs, revelaram pesquisas em andamento sobre o malware, que está circulando desde 2019.

Documentado pela primeira vez pelo Proofpoint em agosto de 2019, o SystemBC é um malware de proxy que aproveita o protocolo de internet SOCKS5 para mascarar o tráfego para servidores de comando e controle (C2) e baixar o Trojan bancário DanaBot (um malware focado na persistência e roubo de informações que podem mais tarde ser monetizadas em vez de exigir um resgate imediato das vítimas).

De acordo com os pesquisadores, o malware SystemBC é capaz de executar comandos do Windows, implantar scripts, implementar DLLs maliciosas, realizar administração e monitoramento remoto, bem como estabelecer backdoors para que os operadores conectem o malware a um C2 para receber comandos.

A Sophos Labs diz que, ao longo do ano, o SystemBC evoluiu e os recursos foram aprimorados, levando a um aumento da popularidade perante os compradores, incluindo operadores de ransomware.

Uma vez implantado, o RAT se copia e se programa como um serviço. No entanto, o mesmo pula esta etapa se o software antivírus Emsisoft for detectado. Uma conexão com um C2 é então estabelecida a um servidor remoto baseado em um (de dois) domínios codificados – com endereços variando entre amostras. É estabelecido também um cliente leve Tor.

“O elemento de comunicação Tor do SystemBC parece ser baseado em mini-tor, uma biblioteca de código aberto para conectividade leve à rede anonimizada Tor,” os pesquisadores observam. “O código do mini-Tor não é duplicado no SystemBC […] mas a implementação do cliente Tor se assemelha muito à implementação usada no programa de código aberto, incluindo o uso extensivo das funções Windows Crypto Next Gen (CNG) API’s Base Crypto (BCrypt).”

Nos últimos meses, o SystemBC foi rastreado em centenas de implantações, incluindo os recentes ataques de ransomware Ryuk e Egregor. A equipe diz que o backdoor foi implantado depois que os atacantes obtiveram acesso às credenciais do servidor, com o SystemBC agindo como uma persistência valiosa para as principais cepas de malware usadas.

O SystemBC foi implantado como uma ferramenta da prateleira, provavelmente obtida através de ofertas de “malware como serviço” feitas em fóruns clandestinos e, em alguns casos, esteve presente em máquinas infectadas por dias – ou semanas.

“O SystemBC é uma ferramenta interessante nesses tipos de operações porque permite que vários alvos sejam trabalhados ao mesmo tempo com tarefas automatizadas, permitindo a implantação prática de ransomware usando ferramentas incorporadas do Windows se os atacantes ganharem as credenciais adequadas,” acrescentou Sophos Labs.

* Escrito/adaptado a partir de informações disponíveis nas páginas https://www.zdnet.com/article/this-off-the-shelf-tor-backdoor-malware-is-now-a-firm-favorite-with-ransomware-operators/, https://www.tiforense.com.br/ransomware-attackers-using-systembc-malware-with-rat-and-tor-proxy/, https://www.proofpoint.com/us/threat-insight/post/systembc-christmas-july-socks5-malware-and-exploit-kits e https://malpedia.caad.fkie.fraunhofer.de/details/win.danabot.