11 malwares mais predominantes que alimentam o cibercrime

Da Redação
07/08/2022

A se tomar por base o predomínio de algumas cepas de malware usadas em ataques cibernéticos, é possível afirmar que os cibercriminosos elegeram 11 delas para entregar ransomware e roubar dados ao longo do ano passado. E vale frisar que a vida útil das cepas mais prevalentes encontradas em 2021 foi de ao menos cinco anos, de acordo com um comunicado conjunto da Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA e do Centro Australiano de Segurança Cibernética (ACSC).

As bases de dados de código de malware são comumente reutilizadas e transformadas em variantes para adicionar novos recursos e evitar os caçadores de ameaças. Entre as 11 principais variedades de malware de 2021, os hackers usaram oito por ao menos cinco anos e circularam duas variedades por mais de uma década, disseram as agências.

As cepas observadas com mais frequência incluem vírus, worms, cavalos de Troia (trojan), ransomware, spyware e rootkits. A lista dos principais malwares elaborada pelas agências inclui o Agent Tesla, AZORult, FormBook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot e GootLoader.

O TrickBot, a única variedade de malware destacada pela CISA e sua contraparte australiana por ser “desenvolvida e operada por um grupo sofisticado de hackers”, é frequentemente usado para implantar o ransomware Conti, que foi usado em quase 450 ataques globais de ransomware no primeiro semestre de 2021. O FBI descreve o Conti como “o tipo de ransomware mais caro já documentado”, e a CISA alerta que ele evoluiu para um malware altamente modular e de vários estágios.

“Atualizações feitas pelos desenvolvedores de malware e a reutilização de código contribuem para a longevidade e evolução das cepas. Os desenvolvedores dessas principais cepas continuam a oferecer suporte, melhorar e distribuir os malwares por vários anos. Eles se beneficiam de operações cibernéticas lucrativas com baixo risco de consequências legais”, disseram as agências.

Além disso, muitos desenvolvedores de malware operam em regiões ou países com poucas proibições legais contra desenvolvimento e implantação de malware. Alguns desenvolvedores até comercializam seus produtos de malware como ferramentas legítimas de segurança cibernética. Por exemplo, os desenvolvedores do Remcos e do Agent Tesla comercializaram o software como ferramentas legítimas para gerenciamento remoto e testes de penetração. Hackers podem comprar o Remcos e o Agent Tesla online por um baixo preço e foram observados usando ambas as ferramentas para fins maliciosos.

As agências aconselham as organizações de infraestrutura crítica a atualizar seus softwares, aplicar autenticação multifator, proteger e monitorar protocolo de desktop remoto, manter backups de dados offline e treinar funcionários para se preparar e mitigar essas ameaças.

Veja isso
Gangue do ransomware Conti assume a operação do TrickBot
AgentTesla, Dridex e Trickbot lideram ataques no Brasil

A seguir, um resumo descritivo dos 11 principais malwares, o período de atividade, o tipo de cepa e o método de entrega/infecção:

  • Agent Tesla

Visão geral: O Agent Tesla é capaz de roubar dados de usuários de e-mail, navegadores da web e servidores FTP (File Transfer Protocol). Esse malware também pode obter capturas de tela, vídeos e dados da área de transferência do Windows. O Agent Tesla está disponível online para compra sob o pretexto de ser uma ferramenta legítima para gerenciar computadores pessoais. Seus desenvolvedores continuam incorporando novas funcionalidades, incluindo recursos de ofuscação e direcionando aplicativos adicionais para roubo de credenciais.

Ativo desde: 2014

Tipo de malware: RAT

Método de entrega: geralmente é entregue como um anexo malicioso em e-mails de phishing.

  • AZORult

Visão geral: O AZORult é usado para roubar informações de sistemas comprometidos. É vendido em fóruns clandestinos de hackers para roubar dados do navegador, credenciais de usuários e informações sobre criptomoedas. Os desenvolvedores do AZORult estão constantemente atualizando seus recursos

Ativo desde: 2016

Tipo de malware: Trojan

Método de entrega: Phishing, sites infectados, kits de exploração (kits de ferramentas automatizados que exploram vulnerabilidades de software conhecidas) ou via malware dropper que baixa e instala o AZORult.

  • FormBook

Visão geral: O FormBook é um ladrão de informações anunciado em fóruns de hackers. Ele é capaz de registrar chaves e capturar senhas de navegadores ou usuários de e-mail, e seus desenvolvedores continuam a atualizar o malware para explorar as mais recentes vulnerabilidades e exposições comuns (CVEs), como a CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability.

Ativo desde: ao menos 2016

Tipo de malware: Trojan

Método de entrega: geralmente entregue como anexo em e-mails de phishing.

  • Ursnif

Visão geral: O Ursnif é um trojan bancário que rouba informações financeiras. Também conhecido como Gozi, o Ursnif evoluiu ao longo dos anos para incluir um mecanismo de persistência, métodos para evitar sandboxes e máquinas virtuais e capacidade de pesquisa para software de criptografia de disco para tentar extração de chave para arquivos não criptografados. Com base em informações de terceiros confiáveis, a infraestrutura Ursnif ainda estava ativa em julho deste ano.

Ativo desde: 2007

Tipo de malware: Trojan

Método de entrega: geralmente entregue como um anexo malicioso a e-mails de phishing.

  • LokiBot

Visão geral: O LokiBot é um trojan criado para roubar informações confidenciais, incluindo credenciais de usuários, carteiras de criptomoedas e outras credenciais. Uma variante do LokiBot 2020 foi disfarçada como um lançador para o videogame multiplayer Fortnite.

Ativo desde: 2015

Tipo de malware: Trojan

Método de entrega: geralmente entregue como um anexo de e-mail malicioso.

  • MOUSEISLAND

Visão geral: MOUSEISLAND geralmente é encontrado nas macros incorporadas de um documento do Word e pode fazer download de outras cargas úteis. MOUSEISLAND pode ser a fase inicial de um ataque de ransomware.

Ativo desde: ao menos 2019

Tipo de malware: download de macros

Método de entrega: Geralmente distribuído como anexo de e-mail.

  • NanoCore

Visão geral: O NanoCore é usado para roubar informações das vítimas, incluindo senhas e e-mails. O NanoCore também pode permitir que usuários mal-intencionados ativem as webcams dos computadores para espionar as vítimas. Os desenvolvedores de malware continuam a desenvolver recursos adicionais como plug-ins disponíveis para compra ou como um kit de malware ou compartilhados entre atores cibernéticos maliciosos.

Ativo desde: 2013

Tipo de malware: RAT

Método de entrega: Foi entregue em um e-mail como uma imagem de disco ISO dentro de arquivos ZIP maliciosos; também encontrado em documentos PDF maliciosos hospedados em serviços de armazenamento em nuvem.

  • Qakbot

Visão geral: originalmente observado como um trojan bancário, o Qakbot evoluiu em suas capacidades para incluir reconhecimento, movimentação lateral, coleta e exfiltração de dados e entrega de cargas úteis. Também conhecido como QBot ou Pinksliplot, o Qakbot é modular por natureza, permitindo que cibercriminosos maliciosos o configurem de acordo com suas necessidades. Qakbot também pode ser usado para formar botnets.

Ativo desde: 2007

Tipo de malware: Trojan

Método de entrega: pode ser entregue por e-mail como anexos maliciosos, hiperlinks ou imagens incorporadas.

  • Remcos

Visão geral: O Remcos é comercializado como uma ferramenta de software legítima para gerenciamento remoto e testes de penetração. Remcos é a abreviação de Remote Control and Surveillance e foi aproveitado por cibercriminosos para conduzir campanhas de phishing em massa durante a pandemia de covid-19 para roubar dados e credenciais pessoais. O Remcos instala uma backdoor em um sistema de destino. Operadores de ameaças usam a backdoor do Remcos para emitir comandos e obter privilégios de administrador enquanto ignoram produtos antivírus, mantêm a persistência e são executados como processos legítimos injetando-se em processos do Windows.

Ativo desde: 2016

Tipo de malware: RAT

Método de entrega: geralmente entregue em e-mails de phishing como um anexo malicioso.

  • TrickBot

Visão geral: O malware TrickBot é frequentemente usado para formar botnets ou permitir o acesso inicial para o ransomware Conti ou o trojan bancário Ryuk. O TrickBot é desenvolvido e operado por um grupo sofisticado de operadores de ameaças e evoluiu para um malware altamente modular e de vários estágios. Em 2020, os criminosos cibernéticos usaram o TrickBot para atingir o setor de saúde e saúde pública (HPH) e, em seguida, lançar ataques de ransomware, exfiltrar dados ou interromper os serviços de saúde. Com base em informações de terceiros confiáveis, a infraestrutura do TrickBot ainda está ativa em julho de 2022.

Ativo desde: 2016

Tipo de malware: Trojan

Método de entrega: Geralmente entregue por e-mail como um hiperlink.

  • GootLoader

Visão geral: GootLoader é um carregador de malware historicamente associado ao malware GootKit. À medida que seus desenvolvedores atualizaram seus recursos, o GootLoader evoluiu de um carregador baixando uma carga maliciosa para uma plataforma de malware de carga múltipla. Como um malware de carregador, o GootLoader geralmente é o primeiro estágio de um comprometimento do sistema. Ao alavancar o envenenamento do mecanismo de pesquisa, os desenvolvedores do GootLoader podem comprometer ou criar sites com classificação alta nos resultados do mecanismo de pesquisa, como os resultados de pesquisa do Google.

Ativo desde: ao menos 2020

Tipo de malware: carregador

Método de entrega: arquivos maliciosos disponíveis para download em sites comprometidos com classificação alta nos resultados dos mecanismos de pesquisa.

Compartilhar: