){kind=link}
Uma investigação da Silent Push, empresa de defesa cibernética, revelou a extensão de uma operação de malware que opera há anos. O SystemBC, um software malicioso que converte computadores infectados em relés para atividades criminosas, comprometeu mais de 10.000 endereços IP únicos ao redor do mundo, alguns deles hospedando sites governamentais.
Apesar da Operação Endgame, uma ofensiva coordenada pela Europol em maio de 2024 que visava desmantelar infraestruturas criminosas, o SystemBC não apenas sobreviveu como continua evoluindo.
smart_display
Nossos vídeos em destaque
Pesquisadores descobriram uma variante completamente nova do malware, escrita na linguagem de programação Perl, que passou despercebida por todos os 62 motores de antivírus testados na plataforma VirusTotal.
“A atividade continuada nos fóruns após a Operação Endgame mostra que não marcamos o fim do SystemBC”, alerta o relatório da Silent Push. Postagens recentes do desenvolvedor, conhecido pelo pseudônimo “psevdo” em fóruns russos, anunciam “atualizações do bot Linux e servidor C2” e “testes globais e correções de bugs”, evidenciando desenvolvimento ativo contínuo.
Como funciona o SystemBC
Quando o SystemBC infecta um servidor, o malware não destrói dados nem exibe mensagens de resgate imediatamente. Em vez disso, transforma silenciosamente a máquina da vítima em um proxy SOCKS5, essencialmente, um intermediário que retransmite tráfego de internet para outras pessoas.
Como a maioria dos servidores está protegida por firewalls, o malware faz com que a própria vítima “ligue de volta” para os servidores de comando dos criminosos, estabelecendo uma ponte pela qual o tráfego malicioso pode fluir.
Usando criptografia RC4, as comunicações são embaralhadas, dificultando que sistemas de segurança identifiquem o que está acontecendo.
Mapa global da infecção
Os dados da Silent Push revelam que a operação é global. Os Estados Unidos lideram com mais de 4.300 endereços IP infectados, seguidos pela Alemanha com 829, França com 448, Singapura com 419 e Índia com 294 infecções detectadas.
Mas os números mais preocupantes aparecem em lugares inesperados. No Vietnã, pesquisadores identificaram o endereço IP 103.28.36.105, que hospeda phutho.duchop.gov.vn, um site oficial do governo provincial, entre os sistemas comprometidos. Em Burkina Faso, na África Ocidental, o IP 196.13.207.92 foi vinculado a domínios associados ao governo nacional, incluindo o site concours.gov.bf.
Infecções persistentes e lucrativas
Diferentemente de vírus tradicionais que se espalham rapidamente e morrem, as infecções pelo SystemBC persistem em média por 38 dias, com alguns casos ultrapassando 100 dias de operação contínua.
O malware tem duas funções principais: servir como proxy para ocultar atividades criminosas e funcionar como um “backdoor”, uma porta dos fundos que mantém acesso persistente às redes internas das vítimas.
Em muitos casos documentados, o SystemBC aparece como o primeiro estágio de ataques que culminam em ransomware, o tipo de malware que criptografa arquivos e exige pagamento para restaurá-los.
Todos os caminhos levam à Rússia
Todas as evidências apontam para origens russas. O desenvolvedor “psevdo” posta exclusivamente em russo no fórum forum.exploit.in, um espaço conhecido por discussões sobre ferramentas de hacking.
A primeira documentação pública do SystemBC data de 2019, quando a empresa de segurança Proofpoint identificou o malware, também conhecido pelos codinomes “Coroxy” e “DroxiDat”.
A nova variante descoberta, os instaladores SafeObject e StringHash, está “literalmente repleta de strings em russo”, nota o relatório. Quando descompactado, o SafeObject varre o sistema em busca de diretórios com permissão de escrita e despeja 264 versões diferentes do malware SystemBC, incluindo executáveis para Linux e scripts Perl.
Hospedagem à prova de balas
Para manter suas operações, os operadores do SystemBC dependem do que o setor chama de “bulletproof hosting”, hospedagem à prova de balas. São provedores que ignoram deliberadamente reclamações e ordens legais para remover conteúdo malicioso.
A infraestrutura de comando e controle do SystemBC foi rastreada até provedores como BTHoster (bthoster.com) e AS213790, conhecido como BTCloud. Esses serviços, que operam em jurisdições com regulamentação frouxa ou inexistente, são o porto seguro de operações criminosas na internet.
WordPress na mira
Uma análise mais profunda revelou um padrão perturbador: muitos dos endereços IP infectados foram reportados no VirusTotal, uma plataforma que agrega dezenas de scanners de segurança, por atividades de exploração contra sites WordPress.
WordPress alimenta cerca de 43% de todos os sites na internet, tornando-o um alvo atrativo. Os comentários em VirusTotal indicam que os atacantes estão usando a rede de proxies SystemBC para varrer a internet em busca de sites WordPress vulneráveis, provavelmente explorando falhas em plugins ou temas desatualizados.
“É uma operação em escala industrial”, observa a análise. “As máquinas infectadas servem como soldados em um exército distribuído, mascarando a localização real dos atacantes enquanto conduzem ataques massivos.”
Um ataque moderno
A cadeia típica de ataque começa com a infecção inicial, frequentemente através de vulnerabilidades em servidores desprotegidos ou campanhas de phishing. Uma vez instalado, o SystemBC estabelece comunicação com os servidores de comando e controle, registrando a nova vítima na rede de proxies.
Durante semanas ou até meses, o malware opera silenciosamente. Os atacantes podem usar o proxy para conduzir reconhecimento, identificando sistemas valiosos na rede interna da vítima.
Podem roubar credenciais, exfiltrar dados sensíveis ou preparar o terreno para o golpe final – a implantação de ransomware que criptografa todos os arquivos e exige pagamento em criptomoedas.
Janela de oportunidades
Paradoxalmente, a persistência do SystemBC também cria uma oportunidade para defesa. A média de 38 dias de infecção significa que existe uma janela substancial para detecção e resposta, mas apenas se as organizações estiverem procurando ativamente pelos sinais certos.
A Silent Push desenvolveu “feeds de Indicadores de Ataque Futuro” especificamente para SystemBC, incluindo listas atualizadas de domínios maliciosos, endereços IP de servidores de comando e controle, e IPs de vítimas conhecidas.
Esses feeds permitem que equipes de segurança identifiquem e bloqueiem infraestrutura relacionada ao SystemBC antes que cause danos.
“A chave é monitoramento proativo”, enfatiza o documento. “Esperar por alertas de antivírus tradicionais não é suficiente quando variantes novas têm zero detecções.”
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.