### Análise Profunda do DEEP#DOOR Pesquisadores da **Securonix** divulgaram detalhes sobre o **DEEP#DOOR**, um framework de backdoor Python furtivo com capacidades potentes. A cadeia de ataque começa com um script batch (`install_obf.bat`) que desabilita controles de segurança do **Windows** e extrai um payload Python embarcado (`svc.py`). A persistência é estabelecida através de vários mecanismos, incluindo scripts na pasta de Inicialização, chaves de Execução no registro, tarefas agendadas e assinaturas WMI opcionais. De acordo com os pesquisadores da **Securonix**, Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee, o script batch é provavelmente distribuído via phishing. Embora a extensão da disseminação do malware permaneça incerta, a análise atual sugere um uso direcionado em vez de generalizado. ### Principais Recursos e Funcionalidades Um aspecto notável do **DEEP#DOOR** é o embarque do implant Python principal diretamente no script dropper. Isso elimina a necessidade de comunicação frequente com infraestrutura externa e minimiza a pegada forense. Após a execução, o malware se comunica com `bore[.]pub`, um serviço de tunelamento baseado em Rust, permitindo a execução remota de comandos e vigilância extensiva. As capacidades incluem: * Reverse shell * Reconhecimento do sistema * Keylogging * Monitoramento da área de transferência * Captura de tela * Gravação de áudio ambiente * Acesso à webcam * Coleta de credenciais de navegador web * Extração de chaves SSH * Credenciais armazenadas no **Google Chrome**, **Mozilla Firefox** e **Windows Credential Manager** * Roubo de credenciais de nuvem (**Amazon Web Services**, **Google Cloud** e **Microsoft Azure**)  ### Evasão e Persistência O **DEEP#DOOR** utiliza um serviço público de tunelamento TCP para comando e controle (C2), misturando tráfego malicioso e evitando a necessidade de infraestrutura dedicada. Ele também incorpora mecanismos anti-análise e de evasão de defesa, como: * Detecção de sandbox, debugger e máquina virtual (VM) * Patching de AMSI e Event Tracing for Windows (ETW) * Unhooking de NTDLL * Tampering com o **Microsoft Defender** * Bypass do SmartScreen * Supressão de logging do PowerShell * Limpeza de linha de comando * Timestamp stomping * Limpeza de logs O malware emprega múltiplos mecanismos de persistência, incluindo scripts da pasta de Inicialização do Windows, chaves de Execução do Registro e tarefas agendadas, com um mecanismo de watchdog para garantir que os artefatos de persistência sejam recriados se removidos. ### Implicações para Profissionais de Segurança A **Securonix** enfatiza que o **DEEP#DOOR** representa uma mudança em direção a frameworks de intrusão fileless e baseados em scripts que alavancam componentes nativos do sistema e linguagens interpretadas como Python. O embarque do payload diretamente no dropper reduz dependências externas e limita as oportunidades de detecção. Profissionais de segurança devem estar vigilantes e implementar soluções robustas de detecção e resposta de endpoint (EDR) para identificar e mitigar ameaças como o **DEEP#DOOR**. Revise e atualize regularmente as políticas de segurança para abordar as táticas em evolução dos atores de ameaças.