2026-04-30 00:00
← VoltarPesquisadores de segurança cibernética divulgaram detalhes de uma estrutura de backdoor furtiva baseada em Python chamada DEEP#DOOR, que vem com recursos para estabelecer acesso persistente e coletar uma ampla gama de informações confidenciais de hosts comprometidos. “A cadeia de intrusão começa com a execução de um script em lote ('install_obf.bat') que desativa os controles de segurança do Windows, extrai dinamicamente uma carga útil Python incorporada ('svc.py') e estabelece persistência por meio de vários mecanismos, incluindo scripts de pasta de inicialização, chaves de execução do registro, tarefas agendadas e assinaturas WMI opcionais”, pesquisadores da Securonix Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee disseram em um relatório compartilhado com The Hacker News. Avalia-se que o script em lote é distribuído por meio de abordagens tradicionais, como phishing. Atualmente não se sabe quão difundidos são os ataques que distribuem o malware e se alguma dessas infecções foi bem-sucedida. “Com base em nossa análise atual, não há evidências claras que sugiram que essa estrutura de malware tenha sido amplamente usada em campanhas de grande escala ou altamente ativas”, disse Gaikwad, engenheiro sênior de pesquisa de segurança da Securonix, ao The Hacker News por e-mail. “Seu uso observado parece ser limitado e um tanto direcionado, em vez de amplamente distribuído”. “Neste estágio, não identificamos indicadores consistentes que apontem para regiões geográficas...
Pesquisadores de segurança cibernética divulgaram detalhes de uma estrutura de backdoor furtiva baseada em Python chamada DEEP#DOOR, que vem com recursos para estabelecer acesso persistente e coletar uma ampla gama de informações confidenciais de hosts comprometidos. “A cadeia de intrusão começa com a execução de um script em lote ('install_obf.bat') que desativa os controles de segurança do Windows, extrai dinamicamente uma carga útil Python incorporada ('svc.py') e estabelece persistência por meio de vários mecanismos, incluindo scripts de pasta de inicialização, chaves de execução do registro, tarefas agendadas e assinaturas WMI opcionais”, pesquisadores da Securonix Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee disseram em um relatório compartilhado com The Hacker News. Avalia-se que o script em lote é distribuído por meio de abordagens tradicionais, como phishing. Atualmente não se sabe quão difundidos são os ataques que distribuem o malware e se alguma dessas infecções foi bem-sucedida. “Com base em nossa análise atual, não há evidências claras que sugiram que essa estrutura de malware tenha sido amplamente usada em campanhas de grande escala ou altamente ativas”, disse Gaikwad, engenheiro sênior de pesquisa de segurança da Securonix, ao The Hacker News por e-mail. “Seu uso observado parece ser limitado e um tanto direcionado, em vez de amplamente distribuído”. “Neste estágio, não identificamos indicadores consistentes que apontem para regiões geográficas específicas ou setores industriais que sejam sistematicamente visados. No entanto, dada a natureza modular da estrutura, é possível que diferentes atores de ameaças possam adaptá-la para diversos casos de uso ao longo do tempo”.
O que torna a cadeia de ataque notável é que o implante central do Python é incorporado diretamente no script dropper, de onde é extraído, reconstruído e executado. Isso reduz a necessidade de recorrer repetidamente à infraestrutura externa e minimiza a pegada forense. Uma vez lançado, o malware estabelece comunicação com o “bore[.]pub”, um serviço de túnel baseado em Rust, permitindo ao operador emitir comandos que facilitam a execução remota de comandos e vigilância extensiva. Isso inclui: - O uso do serviço público de tunelamento TCP para comando e controle (C2) oferece diversas vantagens, pois elimina a necessidade de configuração de infraestrutura dedicada, combina tráfego malicioso e evita a incorporação de detalhes do servidor na carga útil. Paralelamente, o DEEP#DOOR incorpora um conjunto de mecanismos de anti-análise e evasão de defesa, como sandbox, depurador e detecção de máquina virtual (VM), patch AMSI e Event Tracing for Windows (ETW), desengate NTDLL, adulteração do Microsoft Defender, bypass SmartScreen, supressão de log do PowerShell, limpeza de linha de comando, registro de data e hora e limpeza de log, para passar despercebido e complicar os esforços de resposta a incidentes. Ele também emprega vários mecanismos de persistência que envolvem a criação de scripts de pasta de inicialização do Windows, chaves de execução do registro e tarefas agendadas, além de contar com um mecanismo de vigilância para garantir que os artefatos de persistência não foram removidos e, em caso afirmativo, recriá-los automaticamente, tornando a correção um desafio. “O implante resultante opera como um Trojan de acesso remoto (RAT) completo, capaz de persistência de longo prazo, espionagem, movimento lateral e operações pós-exploração em ambientes comprometidos”, disse Securonix. “O implante prioriza a evasão de detecção e visibilidade forense, alterando diretamente a segurança do Windows e os mecanismos de telemetria.” "O DEEP#DOOR destaca a evolução contínua dos agentes de ameaças em direção a estruturas de intrusão sem arquivo e orientadas por script, que dependem fortemente de componentes nativos do sistema e linguagens interpretadas como Python.
Ao incorporar a carga útil diretamente no dropper e extraí-la em tempo de execução, o malware reduz significativamente as dependências externas e limita as oportunidades tradicionais de detecção." Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e refazer reduza riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor – tudo gratuitamente.