Um grupo de hackers patrocinado pelo governo iraniano, conhecido como MuddyWater, deu um passo além no jogo da ciberespionagem: desenvolveu um malware que se comporta como o lendário Snake dos celulares Nokia dos anos 1990. Batizado de Fooder, o código malicioso se infiltra em sistemas israelenses e fica “dormindo” enquanto monitora cada movimento do usuário antes de atacar. A técnica marca uma evolução preocupante nas táticas da organização, famosa por campanhas de spear-phishing menos sofisticadas.
Por que o Fooder se parece com o jogo Snake?
No jogo original, a cobrinha se movimenta em linha reta até que o jogador mude sua direção. O Fooder adota a mesma lógica: ao infectar o PC, ele entra em um loop de execução controlada, intercalando longos períodos de inatividade com momentos de coleta de dados sensíveis. Esse comportamento “pausado” dificulta a detecção por antivírus baseados em análise de comportamento ou sandboxing, que costumam observar apenas os primeiros minutos de uma aplicação suspeita.
Quais são as novidades em relação aos ataques anteriores do MuddyWater?
Até então, o grupo trabalhava sobretudo com PDFs maliciosos que instalavam ferramentas de acesso remoto (RATs). Esses ataques eram ruidosos: deixavam rastros nos registros do sistema e chamavam atenção dos softwares de segurança antes mesmo de exfiltrar dados.
Com o Fooder, o MuddyWater:
- Emprega tempo de inatividade programado para despistar varreduras automáticas.
- Adapta seu comportamento de acordo com a rotina do usuário — se percebe pouca atividade, acelera a espionagem; caso contrário, recua.
- Usa ofuscação de código inspirada em jogos, alterando variáveis e rotas de execução para cada vítima, reduzindo assinaturas detectáveis.
Impacto prático: o que isso significa para empresas e usuários domésticos?
Para empresas com dados sensíveis — especialmente no setor de infraestrutura crítica, finanças ou defesa — um malware de longa permanência pode significar vazamento silencioso de projetos inteiros. Já para o usuário comum, a ameaça reforça a necessidade de:
Imagem: William R
- Atualizar firmware de roteadores e endpoints: muitos ataques evoluem de PCs para dispositivos de rede domésticos, onde permanecem ainda mais invisíveis.
- Configurar soluções de EDR (Endpoint Detection & Response) capazes de analisar eventos ao longo de semanas, não apenas minutos.
- Reforçar autenticação de múltiplos fatores e segmentar redes — práticas que reduzem o raio de ação do atacante caso o primeiro dispositivo seja comprometido.
Tecnologia “stealth” tende a virar padrão
A adoção de técnicas de espera controlada e ajuste dinâmico do código demonstra que grupos estatais estão investindo pesado em malwares moduláveis. Na prática, isso equivale a ter uma GPU de última geração que faz overclock automático: o software analisa as “temperaturas” da rede e opera no limite sem dar sinal de superaquecimento.
Embora o MuddyWater concentre suas ações em Israel, nada impede que versões modificadas do Fooder cheguem a outras regiões, inclusive ao Brasil, via cadeias de suprimento de software ou anexos de e-mail direcionados. A boa notícia é que higiene básica de segurança — patches em dia, análise de logs e treinamento contra phishing — continua sendo o antivírus mais efetivo.
Com informações de Hardware.com.br
