Novo malware tem atualizações semanais e versão de teste para ataques

Um novo malware chamado Stealc está sendo divulgado em fóruns cibercriminosos como a nova onda de ataques envolvendo o roubo de dados, credenciais e arquivos — ou pelo menos, é isso o que seus desenvolvedores desejam. Isso está sendo feito não apenas pela publicação massiva de novidades e informações sobre a praga, mas também pela oferta de “amostras grátis” da praga, para que possam ser usadas em golpes que comprovem sua eficácia.

• Vírus “misterioso” desvia tráfego de milhares de sites com Wordpress
• Malwares não estão no passado e são uma ameaça cada vez maior

Atualizações semanais também fazem parte do rol de diferenciais do Stealc, que foi descoberto pela empresa especializada em inteligência de ameaças Sekoia. De acordo com os especialistas, o vírus começou a ser divulgado em janeiro e já apareceu em golpes contra o mercado corporativo, ganhando mais adeptos ao longo de fevereiro, tanto através dos fóruns na dark web quanto por meio de grupos no Telegram onde negociações, atualizações semanais e versões de teste são divulgadas aos interessados.

De acordo com o usuário conhecido como Plymouth, responsável pelas publicações relacionadas, o Stealc tem capacidade ampla de roubo de dados, o colocando ao lado de outros nomes conhecidos como Raccoon, Redline e Vidar (dos quais aproveitou parte do código), mas aliada a um painel de controle simples de usar. O foco, como sempre, recai sobre a massa maior de interessados em realizar ataques mas que não possuem conhecimentos técnicos profundos, onde estão a maior parte dos clientes da economia de malware como serviço.

Segundo o relatório da Sekoia, dezenas de variantes do Stealc estariam em circulação por conta de uma de suas capacidades, justamente a de gerar novas versões com códigos ofuscados para dificultar a detecção. Todas respondem a uma rede de cerca de 40 servidores de comando e controle, de onde são baixados comandos remotos e arquivos maliciosos e para onde vão os dados e informações roubados das vítimas; de acordo com os especialistas, faltam capacidades realmente furtivas, enquanto o modelo de negócios foi considerado “pobre”, mas eficaz.

Navegadores populares são o principal alvo do Stealc, que também tem plugins e carteiras de criptomoedas em sua mira. A implantação do malware acontece por meio de DLLs legítimas, mas comprometidas com a praga, que passa a se comunicar de forma dinâmica com infraestruturas criminosas para receber ordens e devolver informações sobre o sistema; um recurso que chamou a atenção dos pesquisadores envolve a captura e envio de formatos de arquivos específicos, o que também permitiria o uso do vírus em operações de espionagem corporativa ou pessoal.

Nas campanhas analisadas pela Sekoia, vídeos no YouTube promovendo a instalação de versões piratas de apps como Recuva, uTorrent e ferramentas de benchmark, além de atualizadores de drivers, eram a isca para a contaminação. Após realizadas as operações criminosas, o malware é capaz de apagar todos os seus rastros do sistema, não deixando nenhum indício de sua passagem.

A recomendação de segurança, então, é sobre o cuidado no download de soluções, um processo que só deve ser feito a partir de fontes legítimas como lojas oficiais e sites de desenvolvedores. Cuidado com links recebidos por e-mail ou mensagens em softwares de comunicação e redes sociais; sistemas operacionais também devem ser mantidos sempre atualizados, enquanto os usuários também devem contar com soluções de segurança instaladas no PC para evitar as ameaças mais comuns.

Fonte: Sekoia