Gogra

Uma nova variante do backdoor GoGra, desenvolvida pelo grupo de espionagem Harvester, utiliza a infraestrutura legítima da Microsoft para realizar entregas furtivas de payloads. O malware, que opera em sistemas Linux, se aproveita da API Microsoft Graph para acessar dados de caixas de entrada do Outlook. A análise da Symantec revelou que o acesso inicial é obtido ao enganar as vítimas para que executem arquivos ELF disfarçados de PDFs. Após a autenticação com credenciais do Azure Active Directory, o malware verifica a pasta de e-mails “Zomato Pizza” a cada dois segundos, utilizando consultas OData para identificar mensagens com o assunto “Input”. O conteúdo dessas mensagens é então decifrado e executado localmente, com os resultados sendo enviados de volta ao operador via e-mails com o assunto “Output”. Para aumentar a furtividade, o malware apaga o e-mail original após o processamento. A similaridade do código entre as versões para Linux e Windows sugere que ambas foram criadas pelo mesmo desenvolvedor, reforçando a ideia de que o Harvester está ampliando seu conjunto de ferramentas e escopo de ataque.