O malware combina acesso remoto, spyware e ransomware em um pacote inspirado no clássico personagem “Borat”

Um novo Trojan de Acesso Remoto (RAT) pode até ter um nome divertido para alguns, mas sua combinação única de ameaças mostra que o malware não tem nada de engraçado.

Apelidado de Borat RAT, o Cyble Research Labs divulgou, em uma análise recente do malware, que a nova ameaça não se restringe aos recursos padrão de acesso remoto; em vez disso, o Borat RAT também inclui funções de spyware e ransomware – evoluções de malware que tornam a ameaça especialmente nociva.

De acordo com os pesquisadores de segurança cibernética, o Trojan, que leva o nome do personagem adotado pelo comediante Sacha Baron Cohen e protagonista da série de clássicos da comédia norte-americana, “Borat!”, cujo primeiro filme “O Segundo Melhor Repórter do Glorioso País Cazaquistão Viaja à América” foi sucesso mundial de bilheteria, é colocado à venda para cibercriminosos em fóruns clandestinos.

A ameaça possui um painel de controle centralizado e sua estrutura conta com módulos de construção de código e de recursos e um certificado de servidor.

Por dentro do malware Borat RAT

Os recursos do malware são vastos e incluem um keylogger, um componente de criptografia e descriptografia de ransomware – bem como a opção para os usuários gerarem suas próprias notas de resgate – e um recurso opcional de negação de serviço distribuído (DDoS) para “interromper o tráfego habitual de um servidor de destino”, de acordo com o relatório da Cyble.

O uso de “RAT” no nome – além de inspirar o trocadilho com “Borat” – também dá um indicativo dos recursos remotos e de vigilância desse malware altamente elaborado.

O Borat RAT pode gravar remotamente o áudio de uma máquina, comprometendo seu microfone, capturar imagens da webcam e também disponibiliza uma série de alternativas de controle remoto: sequestro de mouse ou teclado, captura de tela, adulteração de configurações do sistema e roubo e exclusão de arquivos.

O Borat RAT também utiliza o esvaziamento de processos para comprometer processos legítimos no dispositivo da vítima e também pode permitir que proxies reversos permaneçam sob o radar enquanto são realizadas atividades maliciosas.

Como o malware funciona

Se o ataque for bem-sucedido, o malware coletará dados, incluindo informações do sistema operacional, antes de enviá-los para um servidor de comando e controle (C2) controlado pelo invasor.

Além disso, o Borat RAT extrairá informações do navegador, como cookies, históricos de navegação, marcadores e favoritos e credenciais dos usuários. Tokens do Discord também podem ser roubados. A ameaça afeta navegadores como o Chrome e o Microsoft Edge baseado em Chromium.

O relatório que detalha a ameaça informa que o malware também pode executar outras funções com o objetivo de “perturbar” suas vítimas, incluindo reproduzir áudios, trocar as funções dos botões do mouse, mostrar ou ocultar uma área de trabalho e barra de tarefas, congelar o mouse, adulterar as luzes da webcam, desligar um monitor e muito mais. Essas perturbações muito provavelmente também foram inspiradas no personagem que lhe empresta o nome.

Trata-se de uma das ameaças mais complexas e disruptivas já vista nos últimos tempos, destacam os pesquisadores. Embora ainda se tenha poucos detalhes de ataques que exploram o malware, é certo que eles ocorrerão em breve.

Mantenha sua empresa e seus dispositivos seguros. Consulte as soluções da Compugraf e saiba como podemos te ajudar!

O grupo por trás do conhecido malware TrickBot está de volta após uma pausa excepcionalmente longa entre suas campanhas de ataque. Mas, de acordo com pesquisadores de segurança, agora a gangue opera com atividade reduzida.

A suspeita é de que a pausa se deve ao fato de o grupo ter mobilizado uma significativa mudança operacional, focada em explorar malwares de parceiros, como o do grupo Emotet. Com isso, ficaria mais fácil escalar os ataques.

Confira a seguir mais detalhes da descoberta:

TrickBot está de volta: o que isso significa?

Um relatório publicado pela Intel 471 em fevereiro deste ano sinalizou um período “estranho” de relativa inatividade da gangue. De acordo com eles, “de 28 de dezembro de 2021 a 17 de fevereiro de 2022, os pesquisadores da Intel 471 não observaram novas campanhas do TrickBot”.

Antes da calma, um incidente, que ocorreu em novembro de 2021, indicava que o botnet do TrickBot havia sido usado para distribuir o malware Emotet – indicando que a colaboração com o grupo por trás do Emotet estaria em andamento. O relatório da Intel 471 também associa o TrickBot a um terceiro grupo – os operadores da família de malware Bazar – cujos controladores “enviaram comandos para baixar e executar o TrickBot (em meados de 2021) e o Emotet (em novembro de 2021)”.

De modo geral, os pesquisadores especulam que, desta vez, “é provável que os membros do grupo tenham eliminado o malware TrickBot de suas operações, explorando outras plataformas, como o Emotet”.

A “turbulenta” história do malware TrickBot

O TrickBot foi originalmente criado como um trojan bancário, em 2016. De lá para cá, porém, ele evoluiu para um ecossistema completo de malware, recheado de recursos para espionagem e roubo de dados, verificação de vulnerabilidades para invasão de rede, antidepuração – que serve para travar os navegadores dos pesquisadores antes de que eles tenham a chance de identificar sua presença – e identificando e contornando firmwares, dentre outras operações.

Por conta disso, o TrickBot recebeu uma atenção especial das autoridades nos últimos anos. Em 2020, a Microsoft obteve uma ordem judicial dos EUA que permitia apreender servidores do grupo por trás do malware. No ano passado, vários membros desse grupo foram presos e acusados, podendo passar anos na prisão.

Apesar desses esforços, o TrickBot permaneceu ativo.

Isto é, até o final de dezembro de 2021, quando novos ataques foram interrompidos e instaurou-se um período curioso de “silêncio” por parte do grupo.

De acordo com o relatório, a campanha mais recente do Trickbot “aconteceu em 28 de dezembro de 2021. Essa foi uma das três campanhas de malware ativas durante o mês. Apenas para fins de comparação, oito [campanhas] diferentes foram descobertas em novembro de 2021.”

“Embora tenha havido inatividade de tempos em tempos”, observou o relatório, “uma pausa tão longa pode ser considerada incomum”.

Além disso, os arquivos de configuração de malware integrados do TrickBot, que contêm uma lista de endereços de controladores aos quais o bot pode se conectar, “não foram acessados por longos períodos”, disseram os pesquisadores.

Surpreendentemente, esses arquivos já foram atualizados com certa frequência, mas estão recebendo cada vez menos atualizações, disseram os pesquisadores. Por outro lado, a infraestrutura de comando e controle (C2) associada ao TrickBot permanece ativa, com atualizações para “plugins adicionais, injeções da web e configurações adicionais para bots na botnet”.

Os pesquisadores agora concluíram que “essa pausa se deve parcialmente a uma grande mudança dos operadores do TrickBot”.

Uma aliança antiga

Como observado, a colaboração com o Emotet (e o Bazar) não é nova. Mas os pesquisadores disseram à imprensa que a natureza da parceria pode estar evoluindo.

“É difícil dizer o que poderia resultar da colaboração”, escreveu Hank Schless, gerente sênior de soluções de segurança da Lookout, ao Threatpost. “Sabemos que o Emotet recentemente começou a testar como o malware poderia instalar excertos de Cobalt Strike em dispositivos previamente infectados, então talvez eles possam combinar a funcionalidade com o TrickBot.”

Cobalt Strike é uma ferramenta de teste de penetração usada tanto por analistas cibernéticos quanto por invasores. Tendo sucesso no teste, fica ainda mais fácil escalar os ataques.

“Cibercriminosos estão compartilhando seus malwares em fóruns da Dark Web e outras plataformas, o que ajuda toda a comunidade do cibercrime a evoluir suas táticas”, comenta Schless.

Às vezes, as gangues de crimes cibernéticos nutrem parcerias ou relacionamentos comerciais muito parecidos com o que acontece nos negócios convencionais. E, neste caso, parece que a equipe por trás do TrickBot decidiu que era mais fácil “comprar” do que “construir” seu malware, se aproveitando do desenvolvimento de outras gangues.

Alguns acham que o malware original do grupo pode, inclusive, sair de cena.

Afinal, o TrickBot agora tem cinco anos – uma vida inteira em termos de segurança cibernética. “Talvez”, escreveram os pesquisadores da Intel 471, “uma combinação de atenção indesejada ao e a disponibilidade de recursos de malware mais novos e aprimorados tenha convencido os operadores do TrickBot a abandoná-lo de vez”.

Quer proteger sua empresa dos riscos de malware? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Membros do REvil são detidos na Rússia, mas o fim dos malwares está longe.

O que você vai ler:

• Sistema Linux é o principal alvo de 3 grupos ativos de malware
• Rússia detêm 14 membros da gangue de ransomware REvil
• Criminosos usam Adobe Creative Cloud para roubar dados de usuários do Office 365
• Bug em navegador permite a criminosos roubar ID do Google de usuários, e outras informações

Sistema Linux é o principal alvo de 3 grupos ativos de malware

Sistemas baseados em Linux são uma parte essencial da infraestrutura cibernética da maioria dos equipamentos que utilizamos diariamente. Mas, recentemente, dispositivos IoT baseados em Linux se tornaram o principal alvo de cepas de malware direcionadas para esse sistema operacional.

A principal estratégia adotada pelos criminosos é a mobilização de ataques distribuídos de negação de serviço (DDoS), conduzidas, sobretudo, por três famílias de malware principais.

Em um novo relatório de segurança, publicado pela CrowdStrike, pesquisadores identificaram que as famílias de malware baseadas em Linux mais prevalentes em 2021 foram a XorDDoS, a Mirai e a Mozi, que, coletivamente, representaram 22% de todos os ataques de malware a IoTs baseados em Linux. Também foram o principal fator de malware direcionado a todos os sistemas baseados em Linux, que cresceram 35% em 2021, comparado com 2020.

Além disso, havia 10 vezes mais amostras do Mozi em 2021 em comparação com 2020, enquanto as amostras de malware XorDDoS aumentaram quase 123% em 2021.

Já as variantes Mirai mais prevalentes, hoje, são a Sora, a IZIH9 e a Rekai, que cresceram em 33%, 39% e 83%, respectivamente, em 2021. Este malware, em específico, visa sistemas Linux com senhas fracas, ou pré-programadas.

Rússia detêm 14 membros da gangue de ransomware REvil

Membros da gangue cibercriminosa de ransomware REvil foram detidos e o grupo foi desmantelado após uma ação do Serviço Federal de Segurança da Rússia (FSB), anunciou o governo de Moscou.

A ação conjunta do FSB e do Ministério de Assuntos Internos da Rússia foi realizada em 25 propriedades de várias regiões da Rússia, incluindo Moscou, São Petersburgo e Lipetsk; as regiões estão vinculadas a 14 membros do grupo de ransomware REvil.

De acordo com um comunicado do FSB, “vários membros do REvil foram detidos e incriminados” pela agência. Equipamentos de informática foram apreendidos, bem como carteiras de criptomoedas,mais de 426 milhões de rublos, 600 mil dólares americanos e 500 mil euros. 20 carros de luxo comprados com o dinheiro obtido de ataques de ransomware também foram apreendidos.

As invasões ocorreram a pedido dos Estados Unidos, que tem sido uma das principais vítimas de ataques de ransomware da gangue. No ano passado, os EUA e outros países do G7 alertaram a Rússia de que o país precisava assumir a responsabilidade pelo aumento do número de ataques de ransomware e pelos grupos de criminosos cibernéticos que operam dentro de suas fronteiras.

Ao total, foram 14 detidos e 8 incriminados pela FBS.

Criminosos usam Adobe Creative Cloud para roubar dados de usuários do Office 365

Pesquisadores identificaram que invasores estão explorando a Adobe Creative Cloud para enviar links maliciosos a usuários do Office 365 a fim de roubar credenciais de acesso inicial.

A Adobe Creative Cloud é um conjunto popular de aplicativos para compartilhamento de arquivos pessoais e corporativos e inclui aplicativos amplamente usados, como o Photoshop e o Adobe Acrobat.

Embora os invasores tenham como alvo principal os usuários do Office 365, pesquisadores observaram que caixas de entrada do Gmail também foram atingidas.

O ataque funciona assim: um invasor cria uma conta gratuita na Adobe Cloud e, em seguida, cria uma imagem ou um arquivo PDF com um link incorporado, que é compartilhado por e-mail com um usuário do Office 365 ou do Google.

Embora os links dentro dos documentos enviados aos usuários sejam maliciosos, eles próprios não estão hospedados na Adobe Cloud, mas sim em outro domínio controlado por invasores. Os invasores podem usar esse modelo para enviar vários documentos ou imagens da Adobe Cloud de aparência legítima para usuários desavisados.

Para se prevenir, os pesquisadores sugerem inspecionar todas as páginas da Adobe hospedadas na nuvem em busca de erros gramaticais e ortográficos, além de passar o mouse sobre os links (sem clicar) para verificar se o destino é confiável e que a página pretendida é legítima.

Bug em navegador permite a criminosos roubar ID do Google de usuários, e outras informações

Um bug encontrado no Safari 15 pode estar vazando informações sobre os sites que um usuário visita online. Pior ainda, pode estar expondo o ID exclusivo do Google e informações de perfil.

O bug foi descoberto pela primeira vez no final de novembro de 2021 pela FingerprintJS, uma empresa de Chicago especializada em prevenção de fraudes online. De acordo com o anúncio publicado, o problema decorre de um sistema que o Safari 15 e todos os outros principais navegadores da Web usam para armazenar em cache as informações de navegação em telefones, tablets ou computadores, chamado IndexedDB.

Normalmente, as informações armazenadas no IndexedDB só podem ser acessadas por uma página de um mesmo domínio que as criou. Se o Google criar um site, por exemplo, as informações armazenadas em cache só poderão ser acessadas por outra página da web do Google. Essa política de “mesma origem” foi criada para proteger um usuário de sites maliciosos que podem tentar roubar informações do seu navegador.

O que a FingerprintJS descobriu, porém, é que a versão atual do WebKit, o mecanismo de navegador que alimenta o Safari em Macs, bem como todos os navegadores no iOS e iPadOS, pode ser enganado para ignorar a verificação de mesma origem.

Em vez disso, de acordo com o pesquisador, “ele permite que sites arbitrários aprendam quais sites [você visita] em diferentes guias ou janelas”. Além disso, “[alguns] sites usam identificadores únicos e específicos do usuário em um banco de dados [o que] significa que os usuários autenticados podem ser identificados de forma precisa [pelos criminosos]”.

Os desenvolvedores da Apple desenvolveram uma correção e marcaram o problema como resolvido. A mudança não entrará em vigor imediatamente, no entanto. As atualizações levam tempo para serem lançadas e pode demorar até que a maioria dos dispositivos receba a correção.

Mantenha sua empresa protegida! Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar

Empresas e instituições brasileiras são alvo de ataques cibernéticos, e gamers estão na mira dos cibercriminosos.

O que você vai ler:

• Mais de 395 mil chaves Pix vazadas em Sergipe
• Hackers roubam fundos de 6 mil usuários da Coinbase
• Novo malware visa gamers e plataformas como Steam, Origin e Bethesda
• Mais de 50 empresas brasileiras de Telecomunicação sofreram ataques de DDoS

Mais de 395 mil chaves Pix vazadas em Sergipe

Mais de 395 mil números de telefone celular usados para cadastro como chave Pix foram vazados do Banco do Estado de Sergipe (Banese).

O incidente é consequência de uma campanha de engenharia social, que roubou os dados de um sistema interno do banco, o Diretório de Identificadores de Contas Transacionais (DICT). Esse mesmo sistema é responsável por armazenar informações pessoais de clientes, de acordo com comunicado da empresa ao Banco Central.

O diretório contém dados como nome, CPF, banco em que a chave está registrada, agência, conta, data da abertura da conta e data de registro da chave Pix. Porém, nenhum dado sensível – como senhas e informações bancárias – foi vazado, apesar da violação.

O Banco Central explicou que o número de telefone, mesmo que cadastrado como chave Pix, não basta para realizar transferências, movimentações de recursos e muito menos acessar as contas violadas.

Além disso, a agência responsável por divulgar o caso justificou ao Banco Central que o vazamento ocorreu por conta de “falhas pontuais” no DICT. Também informou que já tomou as providências necessárias e que vai investigar o caso para aplicar as “sanções previstas na LGPD”.

Hackers roubam fundos de 6 mil usuários da Coinbase

Mais de 6.000 usuários da casa de câmbio Coinbase tiveram fundos roubados de suas contas após hackers explorarem uma vulnerabilidade no sistema de autenticação de dois fatores baseado em SMS.

As invasões ocorreram no início deste ano, entre março e maio, disse a empresa em uma carta de notificação de violação de dados registrada junto à Procuradoria-Geral dos Estados Unidos.

“O invasor se aproveitou de uma falha no processo de recuperação de conta da Coinbase para receber um token de autenticação de dois fatores por SMS e obter acesso a contas de usuários”, informou a Coinbase. Além disso, ressaltou que os ataques poderiam explorar esse bug apenas se soubessem o nome de usuário e a senha da vítima.

“Não encontramos nenhuma evidência de que esses terceiros tenham obtido essas informações da própria Coinbase”, disse, e assegurou que reembolsaria todos os usuários que perderam fundos com essas invasões.

Novo malware visa gamers e plataformas como Steam, Origin e Bethesda

Um novo malware do tipo trojan está sendo vendido em fóruns cibercriminosos russos, aderindo a um modelo de negócio malware-as-a-service, que oferece planos de assinatura a preços irrisórios (como U$ 10 por mês de uso, ou U$ 40 por uma licença sem data de expiração) e atendimento ao “consumidor” via Telegram.

Os alvos são dados de acesso de usuários de plataformas de games, como a Steam.

A ameaça foi encontrada pela primeira vez em março deste ano, em um anúncio que oferecia um “stealer” (trojan específico para coleta de informações) capaz de furtar dados como cookies de navegador, credenciais de acesso de diversos sites e plataformas, dados bancários, informações do sistema, capturas de tela, arquivos armazenados no desktop e logs das plataformas de games Bethesda, Epic Games, GOG, Origin, Steam além do Telegram e VimeWorld.

O anúncio também garantia que o malware era protegido contra engenharia reversa e análise de malware, em geral. Além do valor extremamente baixo, o empenho dos desenvolvedores em implementar ferramentas que escondem e camuflam o código-fonte do malware também chamou atenção dos pesquisadores.

Apelidado de BloodyStealer, a ameaça, segundo os pesquisadores, envia todos os dados capturados para um servidor de comando e controle (C&C), no qual os cibercriminosos podem acessar por meio do aplicativo de mensagens instantâneas Telegram ou por meio de um painel da web.

O malware infectou vítimas da Europa, América Latina e Ásia, continentes onde há grande quantidade de jogadores e onde o mercado de games é bastante prestigiado, e afeta principalmente usuários domésticos, concluíram os pesquisadores.

Mais de 50 empresas brasileiras de Telecomunicação sofreram ataques de DDoS

Mais de 50 empresas brasileiras do setor de telecomunicação sofreram ataques simultâneos de DDoS durante o primeiro semestre de 2021, de acordo com o novo Relatório de Inteligência de Ameaças da Netscout.

Esse aumento representa um crescimento de cerca de 16% no número de ataques do tipo, em comparação com o primeiro semestre de 2020.

Já em um cenário global, foram quase 5,4 milhões de ataques cibernéticos durante o primeiro semestre do ano – um aumento de 11% em relação ao mesmo período do ano passado.

Na América Latina, o crescimento é ainda mais expressivo, uma vez que o continente registrou mais de 555 mil ataques cibernéticos no primeiro semestre de 2021 – quase 40% a mais do que no ano passado.

Além desses indicadores, que colocam as ameaças contra a indústria de telecomunicação em um novo patamar, os pesquisadores também descobriram sete novos arquétipos de ataques de negação de serviço (DDoS). Ou seja, mais do que crescendo, as ameaças estão evoluindo.

Como precaução, o relatório alerta para os riscos corridos por dispositivos inteligentes (IoT) conectados à internet, que, por natureza, são mais vulneráveis e podem ser a porta de entrada para cibercriminosos.

“Não importa de onde ou para onde você olha, o cenário está ficando ainda mais complexo quando o assunto é como os hackers agem e constroem seus ataques”, conclui.

Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!