CibersegurançaNotícias

YiBackdoor: Novo malware com DNA do IcedID ameaça o Windows

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
malware

Descubra como a reutilização de código entre malwares está criando novas ameaças sofisticadas para o Windows.

Um novo malware batizado de YiBackdoor foi identificado por pesquisadores de segurança, acendendo um alerta imediato para usuários do sistema operacional Windows. Trata-se de uma ameaça sofisticada que combina técnicas de evasão e controle avançadas, levantando preocupações sobre sua possível utilização em campanhas de ciberataques em larga escala.

Conteúdo

Neste artigo, vamos detalhar as principais características do malware YiBackdoor, sua alarmante conexão com malwares notórios como IcedID e Latrodectus, além do que essa descoberta significa para a segurança digital atual.

A revelação veio do time da Zscaler ThreatLabz, que destacou o risco de o YiBackdoor ser utilizado como porta de entrada para ataques de ransomware e outras ameaças devastadoras. O cenário reforça como grupos de cibercriminosos estão evoluindo suas ferramentas de forma contínua e agressiva.

Código malicioso em pacotes npm compromete cadeia de suprimentos global

O que é o YiBackdoor e como ele funciona?

O YiBackdoor é classificado como um backdoor para Windows, permitindo que cibercriminosos assumam o controle remoto de sistemas infectados. Sua principal função é criar um canal de comunicação seguro com os servidores de comando e controle (C2), oferecendo aos atacantes flexibilidade para expandir suas operações maliciosas.

Técnicas de evasão e persistência

O malware foi projetado para escapar de análises em ambientes de teste, usando verificações que identificam se está rodando em sandbox ou em máquinas virtuais com foco em detecção de ameaças.

Uma vez dentro do sistema, ele se estabelece por meio da chave de registro Executar do Windows, garantindo que será inicializado em todo reinício do computador. Além disso, o código malicioso é injetado no processo legítimo svchost.exe, dificultando sua identificação por antivírus e ferramentas de monitoramento.

Comandos e controle (C2)

O YiBackdoor possui um conjunto robusto de comandos que podem ser enviados pelos criminosos, incluindo:

  • Systeminfo: coleta de informações detalhadas sobre o sistema.
  • Screenshot: captura de tela para monitorar a atividade do usuário.
  • CMD: execução remota de comandos do prompt.
  • Plugins adicionais: capacidade de expandir funções, permitindo que o malware seja atualizado ou adaptado conforme a necessidade do operador.

Esses recursos fazem do YiBackdoor uma ferramenta versátil, capaz de evoluir rapidamente em campanhas direcionadas.

A conexão perigosa: as semelhanças com IcedID e Latrodectus

O aspecto mais alarmante do malware YiBackdoor é sua relação direta com famílias de ameaças já conhecidas e temidas. Pesquisadores observaram que seu código compartilha elementos fundamentais com o IcedID e o Latrodectus, sugerindo que os mesmos desenvolvedores podem estar por trás dessas variantes.

O IcedID foi originalmente criado como um trojan bancário, mas ao longo dos anos passou a ser utilizado como loader para ransomware, sendo amplamente explorado em campanhas criminosas. Já o Latrodectus surgiu como uma evolução, considerado sucessor natural do IcedID, com técnicas mais avançadas de persistência e evasão.

O YiBackdoor se encaixa nesse mesmo padrão. Entre as semelhanças apontadas estão:

  • Método de injeção de código no svchost.exe, característico das famílias anteriores.
  • Rotinas de descriptografia semelhantes, usadas para ocultar partes críticas do código.
  • Estrutura modular, que permite expansão com plugins, algo visto também no Latrodectus.

Essa sobreposição técnica fortalece a hipótese de que os grupos por trás dessas ameaças seguem reaproveitando e aprimorando código já testado, criando linhagens cada vez mais sofisticadas.

Bônus: A evolução contínua do ZLoader

Paralelamente à descoberta do YiBackdoor, a Zscaler ThreatLabz também identificou uma nova versão do malware ZLoader, conhecido por seu histórico como trojan bancário.

As mudanças incluem:

  • Ofuscação de código aprimorada, dificultando a análise por especialistas.
  • Novos comandos para mapeamento de rede, permitindo identificar sistemas vulneráveis conectados.
  • Protocolos de comunicação mais avançados, que aumentam a resiliência contra bloqueios.

Esse movimento confirma que o cenário de ameaças digitais não é estático: malwares conhecidos continuam sendo atualizados, tornando-se cada vez mais perigosos.

Conclusão: O que isso significa e como se proteger

A descoberta do malware YiBackdoor ilustra como cibercriminosos estão reciclando e evoluindo códigos maliciosos, criando variantes ainda mais sofisticadas. Sua ligação direta com IcedID e Latrodectus é um sinal claro de que essa linhagem continua ativa e em expansão, representando um risco crescente para usuários e empresas.

Para se proteger, algumas práticas essenciais devem ser seguidas:

  • Manter o sistema operacional e soluções de segurança sempre atualizados.
  • Desconfiar de e-mails, anexos e links suspeitos, ainda o principal vetor de infecção de malwares como o IcedID.
  • Utilizar senhas fortes e autenticação de dois fatores em todas as contas críticas.
  • Realizar backups regulares de dados importantes, reduzindo o impacto em caso de infecção por ransomware.

A mensagem é clara: a vigilância digital precisa ser constante. Com ameaças cada vez mais complexas, apenas uma combinação de boas práticas de segurança, conscientização e ferramentas adequadas pode reduzir os riscos de comprometer sistemas e dados sensíveis.

TAGGED:
Compartilhe este artigo
Artigo anterior Gemini Gemini no Google TV: Saiba tudo sobre a nova IA na sua TV
Próximo artigo Imagem com a logomarca do GitHub com fundi azul Alerta: Phishing no GitHub usa Y Combinator para roubar cripto
Notícias de Android

Android no PC: Google confirma projeto de unificação com Qualcomm

Q90mSNEM no pc google confirma projeto unificacao 2

Google e Qualcomm confirmam projeto para unificar a experiência mobile e desktop. Entenda o que o futuro reserva para o Android, Chrome OS e o mercado de PCs.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto