Provedores de serviços de telecomunicações no Oriente Médio estão sendo alvo de um novo conjunto de intrusões chamado ShroudedSnooper, que utiliza um backdoor furtivo denominado HTTPSnoop.

“HTTPSnoop é um backdoor simples, mas eficaz, que utiliza técnicas inovadoras para interagir com drivers e dispositivos do kernel HTTP do Windows, ouvindo solicitações de entrada para URLs HTTP(S) específicos e executando esse conteúdo no endpoint infectado”, disse a Cisco Talos em um relatório.

Suspeita-se que o ShroudedSnooper explore servidores voltados para a internet e implante o HTTPSnoop para obter acesso inicial aos ambientes-alvo.

Ambas as variantes de malware se passam por componentes do aplicativo Cortex XDR da Palo Alto Networks. Até o momento, foram detectadas três amostras diferentes do HTTPSnoop.

O malware usa APIs do Windows de baixo nível para ouvir solicitações de entrada que correspondam a padrões de URL predefinidos, que são então capturados para extrair o shellcode a ser executado no host.

O foco no setor de telecomunicações, especialmente no Oriente Médio, tornou-se um padrão nos últimos anos.