O grupo de hackers iraniano conhecido como MuddyWater está utilizando um novo malware chamado UDPGangster para espionagem cibernética. Este software malicioso usa o protocolo UDP para comunicação de comando e controle, visando usuários na Turquia, Israel e Azerbaijão, conforme relatório do Fortinet FortiGuard Labs.
O UDPGangster permite controle remoto de sistemas comprometidos, possibilitando a execução de comandos, extração de arquivos e implantação de cargas adicionais. A comunicação ocorre por canais UDP, que são projetados para evitar detecções convencionais de rede, segundo a pesquisadora de segurança Cara Lin.
O ataque começa com táticas de spear-phishing, distribuindo documentos do Microsoft Word armadilhados. Algumas mensagens de phishing se passam pelo Ministério das Relações Exteriores da República Turca de Chipre do Norte, convidando para um seminário online sobre “Eleições Presidenciais e Resultados”.
O script VBA no arquivo de inicialização oculta atividades maliciosas exibindo uma imagem de isca em hebraico. O macro decodifica dados codificados em Base64 e executa o payload UDPGangster. Este malware estabelece persistência por meio de modificações no Registro do Windows e possui verificações anti-análise para evitar desmontagens por pesquisadores de segurança.
O UDPGangster verifica se o processo está sendo depurado, analisa configurações de CPU para detectar máquinas virtuais e verifica informações de adaptadores de rede. Apenas após essas verificações, ele coleta informações do sistema e se conecta a um servidor externo para exfiltrar dados e executar comandos.
É crucial que usuários e organizações sejam cautelosos com documentos não solicitados, especialmente aqueles que pedem ativação de macros. O desenvolvimento do UDPGangster ocorre pouco após a ESET vincular o grupo a ataques em diversos setores em Israel, usando outro backdoor chamado MuddyViper.
Fonte:https://thehackernews.com/2025/12/muddywater-deploys-udpgangster-backdoor.html
