20 de maio de 2022

O novo malware DCRat tem como alvo dispositivos Windows e, de acordo com pesquisadores de segurança, é “barato e popular”, o que o torna excepcionalmente problemático

Uma poderosa variação de malware do tipo trojan, cuja ameaça é o acesso remoto a sistemas completos do Windows, está sendo vendida em fóruns clandestinos a “preço de banana”, alertam pesquisadores. E o mais curioso: essa variação está sendo desenvolvida e mantida por uma única pessoa.

Conhecido como DCRat, o malware existe desde 2018, mas foi redesenhado e relançado recentemente, em um modelo de negócio bastante intrigante.

Isso porque, quando o malware é barato, geralmente está associado a uma entrega limitada de recursos. Mas o DCRat – que é oferecido nos fóruns da Dark Web por apenas 5 dólares – está equipado com uma variedade de funções, incluindo a capacidade de roubar nomes de usuário, senhas, detalhes de cartão de crédito, histórico do navegador, credenciais de login do Telegram, contas da Steam, tokens do Discord e muito mais.

Além disso, o DCRat pode tirar prints da tela do usuário e roubar conteúdo da área de transferência; ele também contém um keylogger que pode rastrear qualquer coisa que a vítima digita em seu computador. Em última análise, o malware fornece aos criminosos cibernéticos acesso total a quase tudo que a vítima faz após o download da carga maliciosa.

Como o DCRat funciona

Malwares tão poderosos costumam ser fruto do trabalho de grupos cibercriminosos sofisticados e com uma ampla variedade de recursos, mas, de acordo com a análise de pesquisadores de segurança cibernética da BlackBerry, o DCRat é desenvolvido e mantido por um único usuário, que comercializa ativamente seu produto em vários fóruns clandestinos de língua russa, bem como em um canal de Telegram.

“Esse trojan de acesso remoto (RAT) parece ser o trabalho de um agente solo, que desenvolveu uma ferramenta caseira surpreendentemente eficaz para abrir backdoors com orçamento limitado”, alertam os pesquisadores.

A natureza anônima das contas não revela muito sobre o criador do DCRat, mas os pesquisadores presumem que, apesar das características poderosas do malware, a manutenção da ameaça não é seu trabalho integral.

Aliás, a condição financeira do agente por trás do malware pode ser a razão pela qual o DCRat está disponível a um preço tão baixo, em comparação com outras ferramentas com recursos semelhantes.

“Um operador único teria baixos custos operacionais e, dada a complexidade associada do DCRat, baixos custos para hospedagem de infraestrutura de back-end”, informa a análise do malware.

O programa malicioso é escrito na linguagem de programação JPHP, uma variação do PHP que roda em uma máquina virtual Java. A linguagem de codificação é frequentemente usada por desenvolvedores de jogos multiplataforma porque é fácil de usar e flexível o bastante para se adaptar a diferentes necessidades.

Isso faz com que os recursos da JPHP sejam ideais para o autor da ameaça desenvolver e atualizar seu malware. Tanto que os pesquisadores detacam que pequenas atualizações e correções são anunciadas quase todos os dias.

Além disso, como o JPHP não é tão amplamente usado quanto outras linguagens de programação, é potencialmente mais difícil detectar suas ameaças e proteger sistemas.

DCRat não deve ser ignorado, apesar de suas características “caseiras”

Ainda não se sabe quão aderente o malware é, no mercado do cibercrime. Mas, por enquanto, o DCRat deve ser considerado uma potente ameaça à segurança cibernética, fornecendo aos criminosos cibernéticos a capacidade de roubar grandes quantidades de informações de outros indivíduos e – pior ainda – de organizações.

Mais preocupante ainda é que o malware segue em contínuo desenvolvimento, com novos recursos sendo adicionados.

“Nós prevemos que as organizações que não contam com soluções de segurança de endpoint, ou que tenham uma postura de segurança interna desestruturada, são os alvos prováveis e/ou de maior risco”, informa a análise.

Ainda não está claro como o DCRat é realmente entregue às vítimas, mas os pesquisadores observam que a implantação do malware geralmente coincide com o uso do Cobalt Strike, uma ferramenta legítima de teste de penetração que costuma ser muito explorada por criminosos cibernéticos.

Embora o DCRat seja uma ameaça potente à segurança cibernética, existem medidas que indivíduos e organizações podem tomar para ajudar a se proteger.

Os pesquisadores sugerem que a aplicação de autenticação multifator pode ajudar a evitar que as contas sejam invadidas, mesmo que as senhas tenham sido roubadas, enquanto os departamentos de TI devem monitorar a rede para detectar – e prevenir – atividades potencialmente suspeitas.

A Compugraf oferece uma vasta gama de ferramentas de segurança cibernética para ajudar você e a sua empresa a se protegerem. Conheça nossas soluções!

Compugraf

Especialista em segurança de dados e certificada por parceiros reconhecidos mundialmente, a Compugraf está pronta para proteger sua empresa na era digital.

O que procura?