O malware DEEP#DOOR surge como uma ameaça sofisticada e silenciosa, destacada recentemente por pesquisadores da Securonix. Trata-se de um backdoor em Python projetado para roubar credenciais sensíveis, especialmente em ambientes de nuvem e servidores acessados via SSH. O que torna essa campanha particularmente preocupante é o uso de técnicas modernas de evasão, combinadas com ferramentas legítimas, dificultando a detecção por soluções tradicionais de segurança.
Diferente de malwares convencionais, o DEEP#DOOR aposta em uma abordagem discreta, com execução indireta e comunicação ofuscada. Essa estratégia amplia o risco para administradores de sistemas, desenvolvedores e equipes DevOps que lidam com ambientes críticos e automatizados.
Anatomia da infecção: do script em lote ao payload Python
A cadeia de infecção do malware DEEP#DOOR começa com um script em lote aparentemente inofensivo chamado install_obf.bat. Esse arquivo atua como um dropper, responsável por iniciar o processo de comprometimento da máquina.
Ao ser executado, o script realiza ações ofuscadas para dificultar a análise. Entre elas, está a extração e execução de um payload Python, geralmente identificado como svc.py. Esse arquivo contém a lógica principal do ataque, incluindo rotinas de comunicação com o servidor de comando e controle (C2).
Uma característica marcante dessa fase é o uso de técnicas de infração sem arquivos, reduzindo a presença de artefatos no disco e dificultando a análise forense. Isso permite que o malware opere de forma mais furtiva e persistente.
O uso inovador do tunelamento com bore.pub
Um dos aspectos mais inovadores da ameaça DEEP#DOOR é o uso do serviço bore.pub para estabelecer comunicação com o servidor C2. Diferente de infraestruturas tradicionais, esse serviço utiliza tecnologia baseada em Rust para criar túneis de rede seguros e temporários.
Essa escolha não é aleatória. Ferramentas como bore.pub são legítimas e frequentemente usadas por desenvolvedores para expor serviços locais à internet. Ao explorá-las, o malware se mistura ao tráfego normal, dificultando a detecção por sistemas de segurança.
Além disso, o uso de tunelamento elimina a necessidade de servidores C2 fixos, tornando o bloqueio mais complexo. Essa técnica reforça a resiliência da campanha e evidencia uma evolução nas estratégias de ataque.
Capacidades de espionagem e roubo de dados
Uma vez ativo, o malware DEEP#DOOR inicia uma série de atividades voltadas à coleta de dados sensíveis. Seu foco principal são credenciais que permitem acesso a ambientes críticos.
Entre os principais alvos estão:
- Chaves SSH armazenadas localmente
- Credenciais salvas em navegadores
- Tokens de autenticação de serviços em nuvem
- Acessos a plataformas como AWS, Azure e GCP
Essa capacidade amplia significativamente o impacto do ataque. Com essas informações, invasores podem escalar privilégios, comprometer infraestrutura em nuvem e até implantar novos ataques a partir de ambientes confiáveis.
Para desenvolvedores e administradores, isso representa um risco direto à integridade de pipelines CI/CD e repositórios privados.
Técnicas de persistência e evasão de defesa
Para garantir sua permanência no sistema, o backdoor em Python utiliza múltiplas técnicas de persistência. Uma delas é a criação de tarefas agendadas, que permitem a execução contínua do malware mesmo após reinicializações.
Outro ponto crítico é a tentativa de desativar mecanismos de proteção, especialmente o Microsoft Defender. O malware pode interferir em componentes como o AMSI e explorar interfaces do sistema como o WMI para executar comandos de forma indireta.
Essas ações reduzem a visibilidade do ataque e dificultam a resposta por parte das equipes de segurança. Em muitos casos, o comprometimento só é percebido após atividades suspeitas em contas de nuvem.
Como se proteger contra ameaças como o DEEP#DOOR
Diante da sofisticação do malware DEEP#DOOR, a prevenção exige uma abordagem em camadas. Algumas práticas são essenciais para reduzir o risco:
- Ativar autenticação multifator (MFA) em todos os serviços críticos
- Monitorar processos Python desconhecidos ou suspeitos
- Auditar o uso de ferramentas de tunelamento como bore.pub
- Restringir permissões de acesso a credenciais sensíveis
- Manter sistemas e antivírus sempre atualizados
Além disso, é fundamental investir em monitoramento contínuo e análise de comportamento, permitindo identificar atividades anômalas antes que causem danos maiores.
Conclusão
O malware DEEP#DOOR representa uma evolução preocupante no cenário de ameaças digitais. Ao combinar um backdoor em Python com técnicas avançadas de evasão e tunelamento, ele amplia o alcance e a eficácia de ataques voltados à exfiltração de dados sensíveis.
Para profissionais de TI e segurança, o alerta é claro: confiar apenas em soluções tradicionais já não é suficiente. A adoção de boas práticas, aliada a uma postura proativa, é essencial para proteger ambientes modernos, especialmente aqueles baseados em nuvem.
A conscientização é a primeira linha de defesa. Avalie seus sistemas, revise suas políticas de segurança e compartilhe este conteúdo com sua equipe.
