Um relatório da empresa sueca Outpost24 traz um alerta para uma campanha de distribuição de malware que está espalhando “centenas de milhares de cópias de malware, infectando cada vítima com até dez delas ao mesmo tempo”. A campanha está sendo disparada por um suposto grupo criminoso baseado na Europa Oriental, que provavelmente faz a distribuição como um serviço para vários operadores de malware segundo o relatório. Os pesquisadores acreditam que o agente da ameaça é pago pela quantidade de infecções e está tentando “espalhar o máximo de malware possível para o maior número de vítimas possível”.
Veja isso
Malware para Linux mira servidor em nuvem mal configurado
Intel reduz superfície de ataque com plataforma Core vPro
O malware é distribuído por meio de e-mails de phishing e loaders de malware. Depois que o arquivo inicial é executado em uma máquina, ele “se desdobra”, instalando até dez tipos de malware que roubam informações.
Muitos arquivos de distribuição continham utilitários projetados para ajudar no sucesso de uma infecção, como ofuscadores e ferramentas para desabilitar o Windows Defender e outros sistemas de proteção. Além disso, algumas das amostras pareciam estar ligadas a outras operações, o que é um forte indicador de que o agente poderia ter sido pago por infecção. Quando tudo isso é colocado junto, a empresa concluiu que era uma situação em que o ator tem a chance, com um único arquivo inicial, de roubar as informações da vítima, carregar mais malware na máquina da vítima e ser pago pela infecção usando o malware. de outro grupo, todos ao mesmo tempo ou qualquer combinação dos itens acima.
Entre os países atingidos – conforme os registros de uploads para o Virut Total -, o incomum é a presença da Rússia. Normalmente, os atacantes da região evitam atingir os membros da Comunidade de Estados Independentes (CEI), uma vez que as autoridades russas tendem a não processar o crime cibernético se este não afeta o seu território ou o dos seus aliados. Mas é possível que amostras enviadas da Rússia tenham sido enviadas na verdade por proxies para ocultar sua origem real, ou por soluções de segurança baseadas naquele país – ou uma combinação disso tudo.
A maioria das amostras foi enviada para serviços como o Virus Total e nossos sistemas usando APIs, o que é um indicador de soluções automatizadas de segurança que as detectam.
