Pesquisadores identificaram uma nova ameaça de ciberespionagem envolvendo o uso do Outlook e o backdoor GoGra. De acordo com informações do TecMundo, o grupo Harvester, ligado a um Estado-nação, desenvolveu uma versão para Linux do malware que emprega a Microsoft Graph API para enviar comandos maliciosos sem levantar suspeitas.
Descoberto pela Symantec e pela Carbon Black Threat Hunter Team da Broadcom, o GoGra tira proveito de serviços legítimos da Microsoft. O malware acessa caixas de entrada no Outlook usando credenciais do Azure AD embutidas, permitindo o envio de comandos a máquinas comprometidas. Isso ocorre através de um canal chamado C2, que disfarça os comandos entre os tráfegos de dados corporativos comuns, dificultando a detecção por medidas de segurança.
Como o GoGra se camufla nos sistemas?
O GoGra utiliza a infraestrutura legítima da Microsoft para se esconder entre os dados normais de uma rede. Obtendo tokens OAuth2, o malware acessa específicas pastas de e-mail do Outlook via Graph API, onde procura por comandos escondidos em mensagens específicas. Esta técnica de camuflagem faz com que a comunicação pareça inofensiva e ajuda o malware a evitar a detecção por firewalls e sistemas de segurança de rede.
O malware realiza buscas constantes em uma pasta de e-mails chamada “Zomato Pizza”, em intervalos de dois segundos. Mensagens identificadas iniciadas pela palavra “Input” são decodificadas e seu conteúdo executado no sistema alvo. Após a execução dos comandos, o malware apaga as mensagens para não deixar vestígios. Os resultados são criptografados com AES-CBC e enviados de volta ao operador usando o mesmo canal.
Quais são as semelhanças entre as versões para Linux e Windows?
As versões para Linux e Windows do GoGra compartilham uma base de código praticamente idêntica. Ambas empregam a mesma chave de criptografia AES e mostram a mesma lógica de comunicação C2, além de erros de codificação idênticos, indicando que foram criadas pelo mesmo desenvolvedor. As distinções limitam-se aos sistemas operacionais e aos nomes das pastas de e-mails usadas.
O grupo Harvester vem atuando na região do sul da Ásia desde 2021, utilizando tanto ferramentas personalizadas quanto utilitários públicos. Eles são conhecidos pelo uso do backdoor Graphon, que, assim como o GoGra, também se comunica via infraestrutura da Microsoft. Até agora, não foram identificadas vítimas específicas, mas fica evidente o interesse do grupo na espionagem na região.
