Boletim semanal de cibersegurança 28 Fevereiro-4 Março 

Daxin: backdoor altamente sofisticado

A equipe de pesquisadores da Symantec publicou um artigo relatando um novo backdoor que eles atribuem a atores ligados à China. De acordo com a Symantec, seria o malware mais avançado que eles teriam visto usando agentes de ameaça daquele país. O Daxin permite que você leia e escreva arquivos e inicie processos, mas ele se destaca sobretudo por sua discrição e pela forma como se comunica com seu Comando & Controle. O malware é capaz de sequestrar conexões TCP/IP legítimas com o objetivo de obter uma troca-chave com seu peer remoto e, desta forma, consegue abrir um canal de comunicação criptografado para receber comandos e enviar respostas escondidas entre o tráfego legítimo e, assim, evitar soluções de segurança. Outro recurso excepcional é a capacidade de criar um novo canal de comunicação através de vários computadores infectados na mesma rede usando um único comando para um conjunto de nodes. Graças a isso, ele consegue restaurar rapidamente conexões criptografadas e canais de comunicação. A Symantec identificou Daxin em organizações governamentais, bem como entidades dos setores de telecomunicações, transporte e indústria de interesse estratégico para a China. Os ataques observados datam de novembro de 2021, mas destacam que a amostra mais antiga identificada data de 2013.

Vulnerabilidade crítica no GitLab

O GitLab lançou uma atualização de segurança que aborda um total de 7 vulnerabilidades que afetam o GitLab Community Edition (CE) e o Enterprise Edition (EE). Entre as falhas de segurança, destaca-se a identificada como CVE-2022-0735, que tem pontuação cvss de 9,6. Explorar essa vulnerabilidade pode permitir que um invasor não autenticado obtenha um token de registro de um corredor, tornando possível a execução remota de código. Embora os detalhes técnicos da vulnerabilidade não tenham sido publicados, a exploração disso seria de baixa complexidade e não exigiria privilégios ou interação por parte do usuário a ser explorado. Essa vulnerabilidade afeta todas as versões de 12.10 para 14.6.4, 14.7 a 14.7.3 e todas as versões de 14.8 a 14.8.1. Assim, o GitLab recomendou a atualização para as versões GitLab Community Edition (CE) e Enterprise Edition (EE) 14.8.2, 14.7.4 e 14.6.5.

Distribuição do TeaBot através da loja Google Play

Os pesquisadores de Cleafy publicaram um novo artigo sobre o Trojan bancário TeaBot, também conhecido como Anatsa, que teria começado a ser distribuído através de aplicativos fraudulentos hospedados na loja Google Play. Este Trojan bancário surgiu no início de 2021 e foi distribuído principalmente através de campanhas de smishing. As novas amostras, no entanto, passaram a usar o Google Play como um meio de distribuição, escondendo um dropper de Teabot atrás de um aplicativo de digitalização QR Code & Barcode (Scanner). Ao baixar o aplicativo, o invasor solicitará ao usuário que o atualize usando uma mensagem pop-up. Esta suposta atualização não será realmente uma atualização, mas um segundo aplicativo («QR Code Scanner: Add-On») será baixado de uma fonte não confiável. Este segundo aplicativo é o que já foi identificado como Teabot, que pede ao usuário permissões a serviços de acessibilidade para obter privilégios como visualização e controle da tela e visualização e execução de ações. As últimas campanhas de Teabot passaram a apoiar idiomas como russo, eslovaco ou mandarim chinês, de modo que o malware poderia estar expandindo seus alvos geograficamente.