News

Trojan Milum amplia alcance com novas versões multiplataforma

A variante de Trojan está ativa desde 2019, no Médio Oriente

17/07/2021

Trojan Milum amplia alcance com novas versões multiplataforma

Os investigadores da Kaspersky descobriram novas versões do malware Trojan Milum, escritas em diferentes linguagens de programação, uma das quais capaz de invadir sistemas Windows e macOS, simultaneamente. A variante de Trojan tem sido utilizada pelo atacante de Advanced Persistent Threat WildPressure, que está ativo no Médio Oriente desde 2019.

O Milum é um RAT – Remote Access Trojan – que, alegadamente, tem como alvo organizações, em vez não utilizadores comuns. Segundo a empresa, é raro encontrar malware que seja capaz de ser executado em múltiplas plataformas, mas este tipo em particular é executado através de um pacote que inclui o malware, a biblioteca Python e um script chamado "Guard". Dessa forma, o malware pode ser facilmente lançado tanto no Windows como no macOS. Depois de atacar o sistema, o malware executa um código em função do tipo de sistema operativo para persistir e começar a recolha de dados. No Windows, o script está incluído num executável com um PyInstaller. O Trojan Python é também capaz de verificar quais as soluções de segurança que estão a ser executadas no dispositivo.

Por vezes, depois do dispositivo ser infetado, o malware envia um alerta para os servidores dos atacantes, com informações sobre o dispositivo, as suas configurações de rede, dados do utilizador e outras informações relevantes, o que permite ao atacante identificar se o alvo é relevante para a sua campanha. No entanto, no caso do Milum, também são enviadas informações sobre a linguagem de programação em que foi escrita. Durante uma investigação, a Kaspersky começou a suspeitar que haveria diferentes versões do Trojan, em diferentes línguas. A teoria foi agora confirmada.

"Os operadores do WildPressure mantêm o seu interesse na mesma área geográfica. Os autores de malware desenvolveram várias versões de Trojan semelhantes, para as quais têm um sistema de controlo. A razão que leva ao desenvolvimento de malware semelhante em várias linguagens é provavelmente a diminuição da probabilidade de deteção. Essa estratégia não é única entre os atores do APT, mas raramente vemos malware que se adapta para ser executado em dois sistemas ao mesmo tempo, mesmo na forma de um script Python. Outro recurso curioso é que um dos sistemas operacionais de destino é o macOS, que é um alvo surpreendente dado o interesse geográfico do ator", esclarece Denis Legezo, investigador de segurança sénior do GReAT, Kaspersky.


Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº3 Dezembro 2021

IT SECURITY Nº3 Dezembro 2021

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.