Cibercrime organizado usa Outlook para esconder vírus em Linux e Windows

Pesquisadores descobriram que o grupo de ciberespionagem Harvester está utilizando o Microsoft Outlook para controlar máquinas infectadas com o backdoor GoGra, tanto em Windows quanto em Linux. Ao utilizar a API legítima da Microsoft e o Azure AD, o malware consegue camuflar o tráfego de comando e controle, dificultando a detecção por sistemas de segurança corporativos.

O funcionamento do vírus é curioso: ele monitora uma pasta de e-mail específica, como a “Zomato Pizza”, em busca de mensagens com comandos criptografados. Assim que as instruções são executadas no terminal do sistema, o malware apaga os e-mails para eliminar rastros e envia o resultado da operação de volta aos criminosos pelo mesmo canal.

Com base de código quase idêntica para ambas as plataformas, o malware foca em espionagem direcionada, especialmente no sul da Ásia, em específico na Índia e Afeganistão. O uso de infraestrutura de nuvem confiável demonstra a sofisticação do grupo, que prefere abusar de serviços populares para evitar bloqueios de firewalls e manter acesso persistente às vítimas.