Novas variantes do malware SprySOCKS atacam organizações governamentais
Pesquisadores da ESET identificaram variantes do malware SprySOCKS, originalmente desenvolvido para Linux, sendo utilizadas em ataques direcionados a organizações governamentais em Taiwan, Tailândia, Paquistão e Honduras entre 2023 e 2024. O malware está associado ao grupo de ameaças chinês conhecido como Earth Lusca, que também é rastreado como FishMonger. As novas variantes para Windows, denominadas WIN_DRV e WIN_PLUS, apresentam capacidades avançadas de furtividade em nível de kernel, permitindo que os operadores ocultem artefatos de malware e se comuniquem com o backdoor através de tráfego redirecionado de portas TCP arbitrárias. O WIN_DRV inclui drivers de kernel para funcionalidades semelhantes a rootkits, enquanto o WIN_PLUS é uma versão mais simples. Ambas as variantes podem executar uma ampla gama de comandos, coletar informações do sistema e gerenciar arquivos. Além disso, a ESET observou indícios de um componente de bootkit UEFI que pode explorar uma vulnerabilidade conhecida como CVE-2023-24932. A descoberta dessas variantes indica que o Earth Lusca está ampliando seu arsenal para atingir uma variedade mais diversificada de sistemas, representando uma ameaça significativa para a segurança cibernética global.