Pesquisadores em cibersegurança documentaram um quadro de porta traseira baseado em Python que merece atenção por sua combinação de sigilo, persistência e alcance de espionagem: conhecido nos relatórios como DEEP#DOOR, instala-se a partir de um dropper em batch que desative controles de segurança e extrai em tempo de execução um payload Python incorporado, o que reduz drasticamente os sinais clássicos de compromisso em disco.
A técnica de incrustar o implante dentro do script de instalação e reconstruí-lo em memória é importante porque converte o ataque em uma operação de baixo perfil: menos chamadas para infra-estruturas externas e menos artefatos que os defensores possam analisar após o fato. O componente Python fornece capacidades completas do Remote Access Trojan, incluindo execução remota, captura de teclas, monitoramento da área de transferência, screenshots, acesso a webcam e microfone, e roubo de credenciais de navegadores, chaves SSH e credenciais em nuvens públicas como AWS, GCP e Azure.
Outro elemento que agrava o risco é o uso de serviços públicos de tunelização (neste caso se comunica com bore.pub) para o canal de comando e controlo, o que permite ao operador evitar a necessidade de infra-estruturas próprias e fazer com que o tráfego malicioso se mezcle com tráfego legítimo. Ao mesmo tempo, o malware implementa múltiplos mecanismos de persistência (carpeta de Início, chaves Run do Registro, tarefas programadas e assinaturas WMI) e até um mecanismo “watchdog” que recria artefatos se forem apagados, complicando a remediação.
DEEP#DOOR incorpora ainda uma ampla gama de técnicas de evasão e anti-análise: detecção de sandboxes e máquinas virtuais, adesivo de AMSI e ETW, desenganche de NTDLL, manipulação da Microsoft Defender, bypass de SmartScreen, supressão de logs de PowerShell, remoção do histórico de comandos e pisado de timestamps e registros. Estas medidas visam reduzir a visibilidade forense e dificultar a detecção de soluções tradicionais e equipamentos de resposta a incidentes.
As implicações para organizações e profissionais são claras: este tipo de marcos reforçam a tendência para intrusões “fileless” ou baseadas em scripts que exploram componentes nativos do sistema e linguagens interpretados como Python, o que obriga a adaptar as defesas para além da simples digitalização de arquivos. É recomendável mapear essas técnicas contra marcos de referência como MITRE ATT&CK para priorizar deteções e mitigações efetivas; este recurso pode ser consultado em https://attack.mitre.org/.
Quanto a medidas concretas, é essencial forçar mecanismos que limitem a execução de scripts e binários não geridos (AppLocker ou Windows Defender Application Control), habilitar e proteger funções anti-tampering em produtos de endpoint (por exemplo, a proteção contra manipulação em Microsoft Defender disponível em documentação da Microsoft) e configurar um registro e telemetria obrigatórios para PowerShell e outros intérpretes para evitar a supressão de logs. A nível de rede, controlar e bloquear serviços de tunelização conhecidos e restringir o tráfego cessante por domínio/porto reduz a capacidade do atacante para estabelecer C2.
Se suspeitar de compromisso, a resposta deve assumir acesso persistente e exfiltração de credenciais: isolar a equipe, preservar memória volátil para análise, revisar tarefas programadas, chaves Run, a pasta de Início e qualquer watchdog que recree persistências; auditar repositórios de credenciais, chaves SSH e contas na nuvem e considerar a rotação forçada de segredos e a revogação de chaves/credenciais afetadas. Para entender o alcance da intrusão e endurecer a postura convém apoiar-se em especialistas em IR e em controles EDR que detectem técnicas de hooking/unhooking e manipulação de telemetria.
DEEP#DOOR é um lembrete de que os adversários priorizam hoje a evasão e a resiliência operacional sobre a sofisticação exótica: a combinação de scripts ofuscados, intérpretes habituais e serviços públicos de roteamento cria uma ameaça prática e difícil de rastrear. A defesa eficaz exige aplicar princípios clássicos — menos privilégios, segmentação de rede, visibilidade e controle de execução — mas adaptados ao panorama moderno de ameaças baseadas em scripts, além de integrar monitoramento e resposta contínuos apoiados por inteligência de ameaças e boas práticas de higiene digital.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...