Cartel de Trojans Bancários atacando a America Latina pode ser a maior colaboração já vista entre operadores de malwares
A colaboração entre vários criadores de malware é um fenômeno bem conhecido. No entanto, uma pesquisa recente por pesquisadores da ESET revelou um grande ato de coordenação entre um grande número de famílias de malware bancário em toda a América Latina, que pode ser o maior já visto na história.
O que foi descoberto?
Os pesquisadores da ESET encontraram 11 famílias de cavalos de Troia bancários que compartilham suas habilidades e recursos em recursos de malware, canais de distribuição e áreas-alvo.
- As famílias de malware incluindo Amavaldo, Casbaneiro, Grandoreiro, Guildma, Krachulka, Lokorrito, Mekotio, Mispadu, Numando, Vadokrist e Zumanek foram observadas usando os mesmos algoritmos de criptografia e algoritmos de geração de domínio semelhantes para se conectar a servidores C2.
- Eles usam as mesmas funcionalidades ou módulos básicos, como notificações do operador, verificação regular de janelas ativas e janelas pop-up semelhantes para aplicativos bancários falsos.
- Além disso, eles foram observados usando as mesmas bibliotecas de terceiros incomuns, algoritmos de criptografia e técnicas de ofuscação.
Similaridades adicionais
Além de compartilhar a mesma infraestrutura de desenvolvimento, eles compartilhavam os mesmos TTPs.
- Várias famílias de malware têm usado o Windows Installer (arquivos MSI) como o primeiro estágio da cadeia de distribuição.
- Seus métodos de execução incluem carregamento lateral de DLL (visando o mesmo conjunto de software) e um intérprete AutoIt legítimo.
- Um fluxo de distribuição semelhante, usando modelos de e-mail semelhantes, é outro atributo comum entre essas famílias de malware.
- Além disso, vários dos trojans começaram a atacar a Espanha e Portugal em seus ataques recentes.
Incidentes recentes
Vários colaboradores de malware foram observados unindo forças e compartilhando suas habilidades e recursos para realizar suas campanhas de ataque.
- Em agosto, o Maze Cartel foi acompanhado por dois novos malwares, Conti e SunCrypt. No entanto, o grupo Maze posteriormente negou a alegação, afirmando que não era afiliado ao SunCrypt. Os membros existentes já incluem LockBit e Ragnar Locker.
- No mesmo mês, cinco APTs chineses diferentes, suspeitos de serem componentes do Grupo Winnti , foram observados usando o mesmo recurso compartilhado (um conjunto de ferramentas de spyware do Linux).
Notas finais
Esse nível massivo de coordenação entre os atores da ameaça é certamente um sinal de maior desenvolvimento e maturidade das operações do cibercrime. Para se manter protegido contra essas ameaças unificadas, os especialistas recomendam adotar uma estratégia de segurança proativa para combater esses ataques cibernéticos, em vez de executar sua estratégia de defesa no modo de combate a incêndio.
