ESET descobre inovações do backdoor Carbon

O Carbon é um backdoor sofisticado que rouba informações e que está estado activo desde 2014. O malware tem sofrido várias alterações por parte dos seus criadores para orquestrar ataques mais eficientes e não ser descoberto. Aliás este é o “modus operandi” do grupo de cibercriminosos, a mudança de ferramentas assim que as mesmas são detectadas pelas soluções de segurança através da alteração de mutexes (objetos de exclusão mútua) e nomes de ficheiros entre versões.

O ataque começa com o envio de um email ao utilizador ou a visita a um site previamente comprometido, tipicamente um site visitado regularmente por essa pessoa. Nessa altura é instalado um backdoor de primeiro nível, como o Tadvig ou o Skipper,  no sistema da vítima. Após um reconhecimento do dispositivo, um backdoor de segundo nível, como o Carbon, é instalado em sistemas críticos.

A metodologia do Carbon passa por disseminar elementos do Carbon e o seu ficheiro de configuração, um componente que comunica com servidores de Controlo e Comando (C&C), e um módulo que gere tarefas, que as expede para outros computadores na mesma rede e cria neles um processo legítimo – o DLL – que comunica com os C&C e um programa que executa o módulo.

A ESET descobriu até agora oito versões ativas desta ameaça sendo que as mesmas incluem os seguintes ficheiros no sistema do computador infetado: SERVICE.DLL, KmSvc.DLL, MSIMGHLP.DLL e MSXIML.DLL

“O Carbon é semelhante a outra ferramenta do Turla – o rootkit Uroburos – sendo a estrutura de comunicação a semelhança mais relevante. Os objetos de comunicação são implementados da mesma forma, as estruturas e tabelas virtuais parecem idênticas, mas há menos canais de comunicação no Carbon,” indicam os investigadores da empresa de cibersegurança. “Sem os componentes de kernel e exploits, o Carbon pode ser a versão ‘light’ do Uroburos”, acrescentam os especialistas.

Para ler toda a análise técnica da ESET ao Carbon, clique aqui.