Novo Pingback Malware usa ICMP para evitar a detecção de C&C

Atualizado: 1 de Jul de 2021

Os analistas de segurança cibernética Lloyd Macrohon e Rodel Mendrez encontraram recentemente um novo malware durante uma investigação de violação.


Chamado de 'Pingback', o malware do Windows aproveita o túnel ICMP (Internet Control Message Protocol) para se comunicar secretamente com bots, permitindo que o invasor utilize pacotes ICMP para adicionar códigos de ataque.

Pingback Malware - Captura do pacote ICMP do invasor
Captura do pacote ICMP do invasor - Fonte: Trustwave

VEJA TAMBÉM: NSA defende adoção de um modelo de segurança Zero Trust


Pingback (“oci.dll“) funciona sendo carregado por um serviço legítimo chamado MSDTC (Microsoft Distributed Transaction Coordinator) - um componente que é responsável por coordenar transações que abrangem múltiplos gerenciadores de recursos, explorando um método chamado sequestro de ordem de pesquisa de DLL. Assim consegue usar um aplicativo genuíno para pré-carregar um arquivo DLL malicioso.


Toda vez que seu computador inicializar, o sistema operacional começará a procurar DLLs. Se o caminho para uma DLL específica não estiver codificado, um trecho de código malicioso pode ser introduzido nesta ordem de pesquisa, carregando um executável.