{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreidbkuewxnrogpske2weloeuay7fmc2jzmzln4ci4jhlrtm6ha5uxu",
"uri": "at://did:plc:ulfbtqn2ybcgbzf27z75qrvu/app.bsky.feed.post/3mkdtjefgrt32"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreie34qssq5qaviinfclzpydt5ckjo5xtweutfxqwwxrlwsg55oulgq"
},
"mimeType": "image/png",
"size": 541305
},
"path": "/seguranca/412601-cibercrime-organizado-usa-outlook-para-esconder-virus-em-linux-e-windows.htm",
"publishedAt": "2026-04-25T20:00:00.000Z",
"site": "https://www.tecmundo.com.br",
"tags": [
"Segurança"
],
"textContent": "Um grupo de ciberespionagem ligado a um Estado-nação desenvolveu uma versão Linux do backdoor GoGra que usa a Microsoft Graph API e uma caixa de entrada do Outlook. O objetivo é enviar comandos maliciosos a máquinas comprometidas.\n\nA descoberta foi feita pela equipe Symantec e Carbon Black Threat Hunter Team, da Broadcom, e representa uma expansão significativa das capacidades do grupo conhecido como Harvester.\n\n## Infraestrutura legítima usada como disfarce\n\nO GoGra abusa de serviços legítimos da Microsoft para se camuflar no tráfego corporativo comum. O malware usa credenciais do Azure AD inseridas diretamente no código para obter tokens OAuth2 e então acessa uma pasta específica da caixa de entrada via Graph API, procurando por e-mails com comandos.\n\nMalware usa infraestrutura legítima da Microsoft para camuflar comandos enviados a máquinas comprometidas.\n\nEssa abordagem é chamada de canal C2 (comando e controle) encoberto, ou seja, um mecanismo pelo qual o invasor envia instruções à máquina infectada sem que esse tráfego pareça suspeito. Isso porque as comunicações passam pelos servidores da própria Microsoft, tornando a detecção por firewalls e sistemas de monitoramento de rede muito mais difícil.\n\n## Pasta \"Zomato Pizza\" e comandos criptografados\n\nO backdoor faz consultas a uma pasta de e-mail chamada \"Zomato Pizza\" a cada dois segundos, procurando mensagens com o assunto iniciado pela palavra \"Input\". Ao encontrar um e-mail, descriptografa o corpo da mensagem, que está codificado em base64 com criptografia AES-CBC, e executa o conteúdo diretamente no sistema via terminal Linux (/bin/bash -c).\n\nApós a execução, o malware apaga as mensagens da caixa de entrada para não deixar rastros. Os resultados dos comandos são criptografados e enviados de volta ao operador pelo mesmo canal.\n\nGoGra apaga rastros após execução para dificultar a detecção por ferramentas de segurança.\n\nO nome da pasta é uma referência a um restaurante de delivery localizado em Hyderabad, na Índia. A versão Windows do mesmo malware usava uma pasta chamada \"Dragan Dash\", também associada ao mesmo estabelecimento, um detalhe que contribuiu para ligar as duas versões durante a análise.\n\n## Versão Linux e Windows compartilham o mesmo desenvolvedor\n\nOs pesquisadores identificaram que as variantes Linux e Windows do GoGra têm uma base de código quase idêntica. Ambas usam a mesma chave AES, a mesma lógica de C2 e compartilham até erros de codificação idênticos, o que indica que foram escritas pelo mesmo desenvolvedor.\n\nAs diferenças se limitam à arquitetura do sistema operacional, ao intervalo de tempo entre as consultas e aos nomes das pastas de e-mail usadas para a entrega dos comandos.\n\nVariantes Linux e Windows do backdoor compartilham base de código e erros de programação idênticos, segundo a Symantec.\n\n## Harvester mira sul da Ásia desde pelo menos 2021\n\nO grupo Harvester está ativo desde pelo menos 2021 e usa tanto ferramentas personalizadas quanto utilitários públicos. Um de seus instrumentos conhecidos é o backdoor Graphon, que também usa infraestrutura da Microsoft para comunicação C2 e apresenta semelhanças com o GoGra.\n\nAs primeiras amostras do novo malware foram enviadas ao VirusTotal a partir de dispositivos na Índia e no Afeganistão. O uso de documentos chamariz em idiomas locais reforça que a campanha foi direcionada especificamente a alvos na região.\n\nNenhuma vítima confirmada foi identificada até o momento, mas os pesquisadores da Symantec concluem que o Harvester mantém interesse persistente na região para fins de espionagem.\n\nAcompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.",
"title": "Cibercrime organizado usa Outlook para esconder vírus em Linux e Windows"
}