){kind=small}
)
Um novo conjunto de ferramentas maliciosas desenvolvido foi descoberto pela Cisco. Tratando-se do toolkit chamado DKnife, o pacote está ativo desde 2019 e está ligado à hackers patrocinados pela China.
O DKnife funciona diretamente em roteadores e equipamentos que fazem conexão entre a rede local das vítimas, como casas ou empresas, e a internet. Para isso, o conjunto usa uma técnica chamada Adversário no Meio, Adversary-in-the-Middle (AitM), que permite que ele se posicione no meio do caminho da rede da vítima, e observe todo o tráfego de dados.
Nossos vídeos em destaque
DKnife é capaz de modificar tráfego na rede
Uma das principais capacidades do DKnife é a "deep packet inspection" (inspeção profunda de pacotes). Para entender isso, é preciso explicar que toda informação que trafega pela internet é dividida em pequenos pedaços chamados "pacotes".
Cada pacote contém não apenas os dados que estão sendo transmitidos, mas também informações sobre origem, destino e tipo de conteúdo.
A inspeção profunda de pacotes significa que o malware não apenas vê por onde os pacotes estão passando, mas abre e analisa o conteúdo interno de cada um deles. Isso permite identificar exatamente o que a vítima está fazendo online: quais sites está visitando, quais aplicativos está usando e até quais arquivos está baixando.
Dknife também intercepta atualizações e downloads
Uma das táticas do DKnife é o sequestro de atualizações de software e aplicativos. Quando a vítima tenta baixar um programa para Windows (arquivos “.exe”) ou uma atualização de aplicativo Android (arquivos “.apk”), o DKnife intercepta essa requisição.
O malware então redireciona o download para um servidor controlado pelos atacantes, em vez do servidor legítimo. A vítima acredita estar baixando o arquivo original, mas recebe uma versão maliciosa que contém backdoors como ShadowPad e DarkNimbus.
Um backdoor é essencialmente uma "porta dos fundos" instalada no sistema da vítima, que permite aos atacantes acessarem o dispositivo remotamente sem autorização. Claro, isso também os permite executar comandos, roubar dados e instalar outros malwares. O ShadowPad e o DarkNimbus são backdoors conhecidos por serem utilizados em operações de espionagem cibernética.
Campanha mira chineses
As evidências coletadas pela Cisco Talos indicam que os operadores do DKnife têm como alvo principal usuários que falam chinês.
O malware foi configurado especificamente para roubar nomes de usuário e senhas, de serviços de email chineses. Além disso, também busca interceptar dados de aplicativos populares como o ‘WhatsApp chinês’, WeChat, e até sequestrar atualizações de aplicativos de táxi e transporte chineses.
A Cisco atribui o DKnife com alta confiança a grupos de ameaça vinculados à China. Essa atribuição é baseada em múltiplas evidências: o idioma usado no código, os alvos específicos, as técnicas empregadas, e conexões com outras campanhas conhecidas.
Capacidades de evasão e sabotagem de segurança
O DKnife não apenas espiona e rouba dados, ele ativamente sabota as defesas de segurança da vítima. O malware identifica quando programas antivírus e ferramentas de gerenciamento de segurança estão sendo executados, reconhecendo-os por características específicas no tráfego de rede.
Por exemplo, ele detecta o 360 Total Security (um popular antivírus chinês) procurando por cabeçalhos HTTP específicos nas requisições de rede, como "DPUname" ou "x-360-ver". Quando identifica essas comunicações, o DKnife envia pacotes TCP RST falsificados.
Um pacote TCP RST (reset) é um tipo de mensagem de rede que normalmente é usada para encerrar abruptamente uma conexão.
Ao enviar esses pacotes falsificados, o malware faz com que as conexões entre o software de segurança da vítima e seus servidores sejam interrompidas, impedindo que atualizações de definições de vírus sejam baixadas ou que ameaças sejam reportadas. Isso deixa a vítima vulnerável e impede que o sistema de segurança detecte a presença do próprio DKnife.
O malware perfeito para phishing
O DKnife também implementa um sistema de monitoramento das atividades online da vítima. O malware rastreia praticamente tudo que a vítima faz na internet, inclusive conversas em aplicativos de mensagens, compras online, leitura de notícias, buscas em mapas, jogos, uso de aplicativos de relacionamento e serviços de transporte.
Um nível de monitoramento que permite aos atacantes construir um perfil detalhado da vida digital da vítima, seus hábitos, interesses e relacionamentos.
DKnife e os sete componentes
O DKnife é composto por sete componentes principais, cada um com uma função específica. O "dknife.bin" é o motor central que realiza a inspeção de pacotes e executa os ataques principais como hijacking de DNS, sequestro de downloads e monitoramento de atividades.
Já o "postapi.bin" funciona como um repórter de dados, coletando tudo que foi capturado e enviando para os servidores de comando e controle (C2) dos atacantes. O “sslmm.bin” é o proxy reverso que quebra a criptografia e rouba credenciais. E o “mmdown.bin” é responsável por baixar e distribuir versões maliciosas de aplicativos Android.
Outro componente é o “yitiji.bin”, que cria uma interface de rede especial no roteador que permite aos atacantes injetarem seu próprio tráfego na rede local da vítima. O “remote.bin” estabelece um túnel VPN ponto-a-ponto, que permite que dois usuários se comuniquem sem um intermediário, usando uma versão customizada do N2N VPN, criando um canal de comunicação direto e discreto com os servidores dos atacantes.
Por último, o “dkupdate.bin” atua como um guardião e atualizador, garantindo que todos os componentes permaneçam ativos e atualizados, reiniciando-os automaticamente se pararem.
O componente “sslmm.bin” é uma versão modificada do “HAProxy”, que é um software legítimo usado para gerenciar tráfego de rede. Neste caso, foi adaptado para funcionar como um proxy reverso malicioso. Sua função é interceptar conexões criptografadas (TLS/SSL) de email, descriptografá-las e roubar as credenciais da vítima. Além disso, ele pode redirecionar URLs para páginas de phishing hospedadas pelos atacantes.
O processo de instalação do DKnife é automatizado através de um downloader em formato ELF (Executable and Linkable Format, o formato padrão de executáveis em Linux).
Este downloader primeiro estabelece conexão com o servidor de comando e controle, gera um identificador único para o dispositivo comprometido, configura persistência, garantindo que o malware seja executado automaticamente sempre que o roteador for reiniciado, baixa o pacote completo do DKnife e inicializa todos os componentes automaticamente.
A Cisco encontrou evidências de que o DKnife pode estar sendo usado para atingir dispositivos IoT também, embora os detalhes específicos ainda estejam sendo investigados.
Outros detalhes, possivelmente ainda sendo verificados pela investigação, incluem as formas de infecção usadas pelo DKnife. O relatório também não deixa claro se outros países estão no escopo da campanha, mas o foco é a China.
A Cisco foi consultada mas não respondeu até a publicação desta reportagem.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
