Tonnerre Malware

tonnerre malware

O Tonnerre Malware é uma carga útil maliciosa de segundo estágio que vem com o Foudre Malware. Essas ameaças fazem parte da notória operação Infy, também conhecida como Prince of Persia. A operação é gerenciada por hackers iranianos, e pesquisadores de segurança cibernética acreditam que esses criminosos são apoiados pelo Estado islâmico. Os hackers apoiados pelo Estado não são nada fora do comum, já que o escopo da guerra cibernética só cresceu nos últimos anos.

O Que é o Tonnerre Malware?

Simplificando, o Tonnerre Malware é uma infecção por um Trojan. As infecções por Trojans são categorizadas por um recurso específico - furtividade. Eles geralmente entram no sistema de destino disfarçados de outra coisa. O Tonnerre Malware é baixado no sistema comprometido pelo Foudre Malware, e o ditado "depois do relâmpago vem o trovão" adquire um novo significado aqui porque é isso que essas palavras significam: Foudre e Tonnerre são "relâmpago" e "trovão" em francês. Portanto, ambas as ameaças de malware são componentes inseparáveis da operação maliciosa que é usada para espionagem cibernética.

O Tonnerre Malware é considerado uma atualização do Foudre Malware. Embora a lista de seus truques de desempenho não seja severamente limitada, ele é mais conhecido por gravar sons do ambiente do computador afetado. Várias versões desse malware foram detectadas desde agosto de 2018, quando foi usado pela primeira vez pelo Foudre Malware. A versão com a qual estamos lidando atualmente é Tonnerre 11.

O Que faz o Tonnerre Malware?

Quando esse componente malicioso é baixado e colocado no sistema afetado, o Tonnerre Malware se comporta como um verdadeiro Trojan e tenta se passar por um aplicativo de software legítimo. A versão atual deste malware finge ser um programa chamado “Synaptics”. O arquivo malicioso tem mais de 56 MB, e alguns podem pensar que um arquivo tão grande seria difícil de perder. No entanto, esse é o truque aqui: alguns fornecedores de segurança ignoram o arquivo porque seus aplicativos de segurança não são programados para verificar esses arquivos grandes. Eles simplesmente descartam um arquivo desse tamanho, e essa é uma das maneiras como o Tonnerre Malware evita a detecção.

Quando a barra está limpa, o agente malicioso executa o seu repertório, que inclui o seguinte:

  • Receber e executar comandos do seu centro de Comando e Controle (C2)
  • Gravar áudio
  • Tirar screenshots
  • Roubar arquivos de pastas e dispositivos externos

Desnecessário dizer que o Tonnerre Malware se conecta ao C2 pelas costas da vítima. Ele estabelece uma conexão segura com um servidor remoto e recebe instruções sobre o que fazer a seguir. É por isso que às vezes é difícil dizer como uma determinada versão de umTrojan se comporta, porque seu comportamento pode ser diferente com base no que o invasor deseja que ela faça.

Tanto quanto sabemos, quando o Tonnerre Malware estabelece a referida conexão, ele transfere os dados coletados sobre a vítima e baixa atualizações para se atualizar. Ele também pode obter um C2 adicional que transfere comandos adicionais associados ao roubo e armazenamento de dados de unidades externas (o malware pode até mesmo roubar arquivos da Lixeira!).

O Tonnerre Malware também usa protocolos HTTP e FTP para se comunicar com seus servidores C2. A senha do servidor FTP que o malware usa para acessar o servidor já está codificada na infecção. No entanto, para o nome de usuário, o Tonnerre Malware usa o nome do computador comprometido. Ele permite que o invasor acompanhe a taxa de infecção e veja quando foi feita uma tentativa de conexão de cada sistema afetado.

Então, levando tudo em consideração, existem cinco etapas ou formas para o Tonnerre Malware. Elas podem ser reduzidas a estes pontos:

  1. Instalação e atualizações.
  2. Coleção de arquivos.
  3. Conexão C2 e exfiltração de arquivos.
  4. Coleção de arquivos de dispositivos removíveis.
  5. Gravação de som.

Como Lidar com o Tonnerre Malware

Como esta é um furtiva infecção por malware, usada para espionagem em nível de estado, um usuário final normal pode não ser capaz de impedir sua proliferação. No entanto, empregar as práticas de segurança cibernética mais comuns e ficar de olho em e-mails de spam estranhos ajudaria a evitar essas ameaças. Além disso, qualquer pessoa preocupada com sua segurança cibernética deve investir em uma ferramenta anti-malware confiável. Infecções como o Malware Tonnerre são difíceis de detectar, mas revisar o status do seu sistema e digitalizá-lo com uma ferramenta de segurança de sua escolha pode torná-lo mais seguro.

Por Tova
February 15, 2021
February 15, 2021

Deixe uma Resposta