{"id":18271,"date":"2021-10-13T19:34:56","date_gmt":"2021-10-13T22:34:56","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18271"},"modified":"2021-10-13T23:11:35","modified_gmt":"2021-10-14T02:11:35","slug":"tomiris-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/tomiris-backdoor\/18271\/","title":{"rendered":"Nova Backdoor: Tomiris"},"content":{"rendered":"

Nossos especialistas descobriram uma nova backdoor que os cibercriminosos j\u00e1 est\u00e3o usando em ataques direcionados. A backdoor, chamada Tomiris, \u00e9 semelhante em v\u00e1rias maneiras ao Sunshuttle (tamb\u00e9m conhecido como GoldMax), malware que o DarkHalo (tamb\u00e9m conhecido como Nobelium) usou em um ataque \u00e0 cadeia de suprimentos contra os clientes da SolarWinds.<\/p>\n

Funcionalidades da Tomiris<\/h2>\n

A principal tarefa da backdoor Tomiris \u00e9 entregar malware adicional \u00e0 m\u00e1quina da v\u00edtima. Est\u00e1 em comunica\u00e7\u00e3o constante com o servidor C&C dos cibercriminosos e baixa arquivos execut\u00e1veis, que s\u00e3o executados com os argumentos especificados, a partir da\u00ed.<\/p>\n

Nossos especialistas tamb\u00e9m encontraram uma variante para roubo de arquivos. O malware selecionou arquivos criados recentemente com certas extens\u00f5es (.doc, .docx, .pdf, .rar e outros) e, em seguida, carregou-os no servidor C&C.<\/p>\n

Os criadores do backdoor forneceram v\u00e1rios recursos para enganar as tecnologias de seguran\u00e7a e os investigadores. Por exemplo, na entrega, o malware n\u00e3o faz nada por 9 minutos, um atraso que provavelmente enganar\u00e1 qualquer mecanismo de detec\u00e7\u00e3o baseado em sandbox. Al\u00e9m disso, o endere\u00e7o do servidor C&C n\u00e3o \u00e9 codificado diretamente na Tomiris \u2013 a URL e as informa\u00e7\u00f5es da porta v\u00eam de um servidor de sinaliza\u00e7\u00e3o.<\/p>\n

Como a Tomiris chega aos computadores<\/h2>\n

Para entregar a backdoor, os cibercriminosos usam o sequestro de DNS<\/a> para redirecionar o tr\u00e1fego dos servidores de e-mail das organiza\u00e7\u00f5es-alvo para seus pr\u00f3prios sites maliciosos (provavelmente obtendo credenciais para o painel de controle no site do registrador de nomes de dom\u00ednio). Dessa forma, eles podem atrair os clientes para uma p\u00e1gina que se parece com a p\u00e1gina de login do servi\u00e7o de e-mail real. Naturalmente, quando algu\u00e9m insere credenciais na p\u00e1gina falsa, imediatamente as entrega para os hackers.<\/p>\n

\u00c0s vezes os sites solicitam que os usu\u00e1rios instalem uma atualiza\u00e7\u00e3o de seguran\u00e7a para funcionar. Nesse caso, a atualiza\u00e7\u00e3o era na verdade uma forma de da Tomiris.<\/p>\n

Para obter mais detalhes t\u00e9cnicos sobre a backdoor do Tomiris, junto com indicadores de comprometimento e conex\u00f5es observadas entre as ferramentas Tomiris e DarkHalo, consulte o Securelist<\/a>.<\/p>\n

Como se manter seguro<\/h2>\n

O m\u00e9todo de entrega de malware que descrevemos acima n\u00e3o funcionar\u00e1 se o computador que acessa a interface do Web mail estiver protegido por uma solu\u00e7\u00e3o de seguran\u00e7a<\/a> robusta. Al\u00e9m disso, qualquer atividade dos operadores dessa APT na rede corporativa pode ser detectada com a ajuda de especialistas que acionam o Kaspersky Managed Detection and Response<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Na confer\u00eancia SAS 2021, nossos especialistas falaram sobre a backdoor Tomiris, que parece estar ligada ao grupo DarkHalo.<\/p>\n","protected":false},"author":2581,"featured_media":18272,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655],"tags":[71,1185,2791,141,2790,514],"class_list":{"0":"post-18271","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-apt","11":"tag-business","12":"tag-darkhalo","13":"tag-sas","14":"tag-sas-2021","15":"tag-security-analyst-summit"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tomiris-backdoor\/18271\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tomiris-backdoor\/23437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tomiris-backdoor\/18910\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tomiris-backdoor\/9466\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tomiris-backdoor\/25503\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tomiris-backdoor\/23581\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tomiris-backdoor\/23001\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tomiris-backdoor\/26156\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tomiris-backdoor\/25712\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tomiris-backdoor\/31600\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tomiris-backdoor\/10112\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tomiris-backdoor\/42239\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tomiris-backdoor\/17824\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/tomiris-backdoor\/15371\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tomiris-backdoor\/27511\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tomiris-backdoor\/31733\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/tomiris-backdoor\/27661\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tomiris-backdoor\/29792\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tomiris-backdoor\/29591\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18271","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18271"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18271\/revisions"}],"predecessor-version":[{"id":18274,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18271\/revisions\/18274"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/18272"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18271"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18271"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18271"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}