Malware LabRat pode escapar da detecção
Uma cepa de malware recentemente descoberta, conhecida como LabRat, está causando preocupações no mundo da segurança cibernética devido à sua extraordinária capacidade de permanecer oculto às medidas de segurança convencionais. Sysdig, um fornecedor de segurança, relatou que sua equipe de pesquisa de ameaças (TRT) encontrou o LabRat, que parece fazer um grande esforço para operar sem ser detectado. De acordo com Sysdig, as táticas do LabRat demonstram um nível mais alto de sofisticação em comparação com muitos outros ataques cibernéticos observados pelo seu TRT.
Ao contrário de alguns invasores que não priorizam a furtividade, os criadores do LabRat elaboraram meticulosamente sua operação para minimizar as chances de detecção. Este esforço adicional tornou difícil para os defensores identificar e responder eficazmente à ameaça.
LabRat está principalmente envolvido em campanhas de cryptojacking e proxyjacking. No cryptojacking, ele usa secretamente o computador da vítima para extrair criptomoedas para o invasor, enquanto no proxyjacking, a máquina da vítima é inscrita em uma rede de compartilhamento de largura de banda ponto a ponto, beneficiando o invasor. O vetor de ataque para LabRat envolve a exploração de uma vulnerabilidade conhecida nos servidores GitLab (CVE-2021-2205), permitindo ao invasor realizar a execução remota de código e implantar a carga no sistema vulnerável.
O que diferencia o LabRat é o grau de ofuscação aplicado ao seu código. Além disso, o uso do serviço TryCloudFlare para rotear o tráfego obscurece ainda mais a presença dos invasores nos sistemas infectados. O diretor de pesquisa de ameaças da Sysdig, Michael Clark, observou que a criptografia pesada e as técnicas de engenharia anti-reversa do LabRat o tornaram indetectável pelo VirusTotal (VT), o que é bastante incomum.
Defesa contra malware LabRat
O grupo LabRat parece estar altamente motivado para proteger seu código da análise de pesquisadores de chapéu branco, como evidenciado por seus extensos esforços de ofuscação. Seu principal objetivo é manter o acesso aos sistemas comprometidos pelo maior tempo possível para lucrar com o proxyjacking e a criptomineração. O tempo é essencial, especialmente no proxyjacking, onde a eficácia de uma rede não atribuível depende do número de nós. Se a rede ficar muito pequena, ela poderá ser bloqueada e inutilizada.
A Sysdig recomenda que a melhor defesa dos administradores contra tais ataques seja a detecção precoce. Ter ferramentas de monitoramento atualizadas e capazes pode ajudar a identificar ataques em seus estágios iniciais, evitando que se enraízem e implantando ferramentas de contradefesa. Num cenário cibernético em que os atacantes estão a tornar-se cada vez mais sofisticados, a deteção precoce continua a ser uma componente crítica da segurança cibernética eficaz.
