### Backdoor GoGra Ataca Sistemas Linux O grupo **Harvester**, acreditado como apoiado por um estado, tem desenvolvido ativamente ferramentas maliciosas customizadas desde pelo menos 2021. Sua criação mais recente, uma variante Linux da backdoor GoGra, emprega uma abordagem inovadora ao utilizar a **Microsoft Graph API** para acessar dados de caixas de correio, tornando-a excepcionalmente evasiva. O **Harvester** historicamente tem como alvo organizações de telecomunicações, governamentais e de TI no Sul da Ásia, utilizando backdoors e loaders customizados. ### Abuso da Microsoft Graph API para Operações Ocultas Pesquisadores da **Symantec** analisaram amostras da backdoor GoGra para Linux obtidas do **VirusTotal**. Suas descobertas indicam que o malware obtém acesso inicial enganando vítimas para executarem binários ELF disfarçados de arquivos PDF. Uma vez dentro do sistema, a versão Linux do GoGra usa credenciais **Azure Active Directory (AD)** hardcoded para autenticar na nuvem da Microsoft e adquirir tokens OAuth2. Isso permite que ele interaja com caixas de correio do Outlook através da Microsoft Graph API. ### Análise Técnica Detalhada A fase inicial envolve um dropper de malware escrito em Go, que implanta um payload i386. A persistência é estabelecida via 'systemd' e uma entrada de autostart XDG, disfarçando-se como o monitor de sistema legítimo **Conky** para Linux e BSD. O malware verifica uma pasta de caixa de correio do Outlook chamada “Zomato Pizza” a cada dois segundos. Ele emprega consultas OData para identificar e-mails de entrada com linhas de assunto começando com “Input”. O conteúdo dessas mensagens, que são codificados em base64 e criptografados com AES-CBC, é descriptografado e executado localmente. Os resultados dessas execuções são então criptografados com AES e enviados de volta ao operador via e-mails de resposta com o assunto “Output”. Para reduzir ainda mais sua pegada, o malware emite uma requisição HTTP DELETE para remover o e-mail de comando original após processá-lo. ### Similaridades no Código Apontam para Harvester A **Symantec** observa que a variante Linux do GoGra compartilha uma base de código quase idêntica com a versão Windows, incluindo erros de digitação em strings e nomes de funções, bem como a mesma chave AES. Isso sugere fortemente que ambas as variantes de malware foram criadas pelo mesmo desenvolvedor, solidificando ainda mais a atribuição ao grupo de ameaças **Harvester**. O surgimento de uma variante GoGra para Linux sinaliza que o **Harvester** está expandindo seu conjunto de ferramentas e ampliando seu escopo de alvos para comprometer uma gama mais ampla de sistemas.