Aurora: conheça o malware que está se tornando queridinho dos criminosos

O Aurora está se tornando o nome principal no mercado cibercriminoso quando o assunto são os malwares de roubo de dados. A baixa taxa de detecção aliada ao amplo sucesso das operações realizadas desde abril deste ano, quando a ferramenta foi lançada em fóruns do mercado ilegal, fez com que pelo menos sete quadrilhas de renome já tenham adotado o software como principal mecanismo de realização de ataques.

• Conheça principais ameaças em navegadores e como se proteger
• Como as ameaças digitais evoluíram nos últimos 10 anos?

Algumas delas, inclusive, trabalham exclusivamente com o Aurora, enquanto outras ainda adotam outros ladrões de dados conhecidos, como Raccoon ou Redline. Mais do que isso, os próprios autores do malware mudaram os rumos, e aquela que inicialmente seria uma botnet de alta capacidade e com diferentes módulos ofensivos acabou se especializando no furto de dados de usuários finais e empresas.

Sites que fornecem games piratas, trapaças para jogos e tutoriais no YouTube costumam ser os principais vetores ofensivos. Os bandidos também estão criando páginas falsas em nome de carteiras, câmbios e serviços de criptomoeda, com downloads que até trazem as soluções legítimas juntamente com o pacote malicioso, que é instalado sem que o usuário perceba.

Os detalhes sobre esse crescimento aparecem em um relatório da empresa de cibersegurança Sekoia, que vem observando ampla atividade do Aurora entre as famílias de malware mais utilizadas. O foco está nas carteiras e serviços de criptomoedas, enquanto o valor para uso é baixo — US$ 250, ou cerca de R$ 1.340, por mês ou US$ 1.500, aproximadamente R$ 8 mil, por uma licença vitalícia de uso.

Com ambas, os criminosos têm acesso a uma ampla e estável infraestrutura para recebimento e manipulação de dados, além de uma praga de tamanho baixo e sem dependências, que pode ser facilmente anexada a ataques de phishing, arquivos compactados ou documentos online. Sua arquitetura baseada em Go, também, garante maior furtividade em relação a outras famílias de malwares mais conhecidas, enquanto seu caráter inédito também permite que o Aurora passe despercebido.

Após instalada em um dispositivo Windows, a praga varre navegadores em busca de senhas e dados de cartão de crédito salvos, assim como cookies e extensões. No PC, o Telegram também é um alvo, assim como as principais carteiras de criptomoedas; todos os dados obtidos são criptografados e enviados de volta aos servidores sob o controle dos bandidos, que os utilizam para novos golpes ou tentativas de roubo de identidade.

De olho no crescimento da ameaça, a Sekoia divulgou indicadores de comprometimento e demais detalhes técnicos do Aurora, que crava ser um dos principais perigos digitais para os próximos meses. A empresa não falou em números específicos de disseminação, mas pede atenção a empresas e usuários para ataques de phishing e sites maliciosos que podem distribuir o vírus.

Fonte: Sekoia