Na batalha contínua contra as ciberameaças, a Equipa Global de Investigação e Análise (GReAT) descobriu novos três stealers: Acrid, ScarletStealer e uma versão evoluída do stealer Sys01. Estas descobertas estão detalhadas no mais recente relatório, onde os especialistas esclarecem a evolução das tácticas dos cibercriminosos.
Descoberto em Dezembro do ano passado, o Acrid surge como uma nova adição ao panorama dos stealers. Apesar da sua arquitectura de 32 bits, uma raridade no actual ambiente predominantemente de 64 bits, este utiliza a técnica “Heaven’s Gate”, permitindo o acesso ao espaço de 64 bits e contornando as medidas de segurança. Apresenta funcionalidades típicas de stealers, incluindo roubo de dados do navegador, roubo de carteiras de criptomoedas e exfiltração de ficheiros. Embora moderadamente sofisticado com encriptação de strings, o Acrid carece de funcionalidades inovadoras.
O ScarletStealer, identificado juntamente com a análise do downloader Penguish, diverge dos stealers tradicionais. Em vez de se dedicar ao roubo de dados directamente, descarrega executáveis adicionais, visando predominantemente as carteiras de criptomoedas. Em particular, os executáveis do ScarletStealer são assinados digitalmente, uma prática redundante considerando a sua funcionalidade subdesenvolvida e numerosas falhas. Apesar das deficiências evidentes, a sua lista de vítimas continua a aumentar e estão espalhadas por todo o mundo, com concentrações no Brasil, Turquia e EUA.
Anteriormente conhecido como Album Stealer ou S1deload Stealer, o Sys01 sofreu uma transformação, misturando payloads C# e PHP. O seu vector de infecção permanece consistente, atraindo a atenção dos utilizadores com arquivos ZIP maliciosos disfarçados de conteúdo para adultos. Esta última interacção, chamada Newb, apresenta uma funcionalidade dividida, com a recolha de dados do navegador segregado num módulo separado chamado imageclass. Apesar das suas vítimas se concentrarem no território da Argélia, estão bastante difundidas pelo globo, o que sublinha o seu alcance mundial.
«O aparecimento destes novos stealers é uma clara chamada de atenção para a procura insaciável no submundo do crime de ferramentas que facilitem o roubo de dados. Com o potencial de consequências terríveis, como perdas financeiras e violações de privacidade, é imperativo que os indivíduos e as organizações se mantenham vigilantes e adoptem medidas proactivas de cibersegurança. A Kaspersky aconselha vivamente a manter o software actualizado, a ter cuidado durante a transferência de ficheiros e a abertura de anexos e a explorar soluções de segurança robustas, como o SystemWatcher, para fortalecer as defesas contra ameaças em constante evolução», afirma Tatyana Shishkova, Investigadora Principal de Segurança da GReAT da Kaspersky.
Para saber mais sobre as stealers recentemente descobertos, consulte a Securelist.com.
Para evitar ameaças com motivações financeiras, a Kaspersky recomenda que:
- Configure cópias de segurança offline que os intrusos não possam adulterar. Certifique-se de que pode aceder-lhes rapidamente numa emergência, quando necessário.
- Instale uma proteção contra ransomware para todos os endpoints. A ferramenta Kaspersky Anti-Ransomware Tool for Business é gratuita e protege os computadores e os servidores contra ransomware e outros tipos de malware, evitando exploits. Para além disso, é compatível com soluções de segurança pré-instaladas.
Para minimizar a probabilidade de lançamento de cripto-miners, utilize uma solução de segurança dedicada, como o Kaspersky Endpoint Security for Business, com controlo de aplicações e web. A análise de comportamento ajuda a detetar rapidamente atividades maliciosas, enquanto o gestor de vulnerabilidades e patches protege os seus dispositivos contra cripto-miners que exploram vulnerabilidades existentes.
