Site icon Lifetechweb

Infostealer Jardim de frutas fáceis de alcançar

LifeTechWeb
Infostealer Jardim de frutas fáceis de alcançar
Ladrão de informações

Think about que você pudesse ter acesso a qualquer empresa da Fortune 100 por US$ 10 ou menos, ou até mesmo de graça. Pensamento assustador, não é? Ou emocionante, dependendo de qual lado da barreira da segurança cibernética você está. Bem, esse é basicamente o estado das coisas hoje. Bem-vindo ao jardim de frutas fáceis de colher do infostealer.

Nos últimos anos, o problema cresceu cada vez mais, e só agora estamos aprendendo lentamente seu potencial destrutivo complete. Neste artigo, descreveremos como todo o ecossistema cibercriminoso opera, as maneiras como vários agentes de ameaças exploram dados originários dele e, o mais importante, o que você pode fazer a respeito.

Vamos começar com o que o malware infostealer realmente é. Como o nome sugere, é um malware que… rouba dados.

Dependendo do tipo específico, as informações extraídas podem ser um pouco diferentes, mas a maioria tentará extrair o seguinte:

  • Carteiras de criptomoedas
  • Informações da conta bancária e detalhes do cartão de crédito salvos
  • Senhas salvas de vários aplicativos
  • Histórico de navegação
  • Cookies do navegador
  • Lista de arquivos baixados
  • Informações sobre o sistema operacional usado
  • Uma captura de tela da sua área de trabalho
  • Documentos obtidos do sistema de arquivos
  • Credenciais para aplicativos Telegram e VPN
Exemplo de pacote de log infostealer

E mais e mais coisas, conforme os desenvolvedores de malware adicionam recursos adicionais ao longo do tempo. Como você pode imaginar, você não quer que esse tipo de informação vaze na web para todo mundo ver. Nem quer que as credenciais dos sistemas internos da sua organização sejam comprometidas dessa forma. No entanto, é exatamente isso que está acontecendo todos os dias com milhares de usuários.

Você não precisa ser particularmente entendido em tecnologia para espalhar malware infostealer, nem rico para obter dados valiosos roubados por outros agentes de ameaças. Vamos dar uma olhada em como todo o ecossistema funciona.

Você também pode ser um criminoso cibernético!

Uma tendência atual no lado negro da web é a especialização. Enquanto no passado period mais comum que um indivíduo ou grupo cuidasse de todo o processo, hoje em dia o caminho para os ativos da sua empresa é pavimentado por muitos atores de ameaças concorrentes diferentes. Esses atores se especializam em apenas uma parte da “indústria” e fornecerão seus serviços com prazer a qualquer um disposto a pagar, em um verdadeiro espírito de livre mercado.

Um exemplo do “jeito antigo” pode ser o famoso malware bancário Zeus. Ele foi desenvolvido e espalhado pelo mesmo grupo de pessoas. Dados roubados também foram explorados por eles, e todos os lucros dessa empresa criminosa voltaram para eles. Não havia como você, um pequeno criminoso cibernético, ganhar dinheiro com os resultados deles ou mesmo comprar o malware em si para que você pudesse espalhá-lo por conta própria.

Bem, o mercado evoluiu. Embora ainda existam atores operando completamente por conta própria, a barreira para entrar no mundo do roubo de dados de outras pessoas é muito menor. Você, mesmo como indivíduo, pode se juntar às fileiras da indústria de startups de crimes cibernéticos. As seguintes posições estão abertas agora:

Captura de tela da área de trabalho incluída no pacote mencionado acima

Desenvolvedor/vendedor de implantes conta-gotas

Você será responsável por desenvolver um pequeno, porém importante, software program no qual o resto da “indústria” geralmente confia: o instalador de malware, ou carregador, se preferir.

Embora o arquivo de malware infostealer em si tenda a ser bastante grande porque contém muitas funcionalidades, o instalador de malware tem apenas um objetivo: contornar o antivírus e criar uma maneira para que outros agentes baixem seu próprio código malicioso para o dispositivo.

Um exemplo de um dropper pode ser o Smoke Loader, operando desde 2011 e ainda adicionando novas funcionalidades até hoje. Os desenvolvedores de droppers/loaders exploram o acesso obtido com seus softwares ou os revendem por meio de vários fóruns da darknet para outros, ou ambos. No jargão da darknet, um computador infectado é conhecido como “instalação”, e há muitos “serviços de instalação” alegando fornecer a você uma maneira de espalhar seu próprio malware (seja infostealers, cryptominers ou outro código malicioso) por meio deles. Normalmente, eles garantirão que vendem a “instalação” apenas para suas mãos, mas, pela nossa experiência, esse geralmente não é o caso, pois os operadores do “serviço de instalação” tentarão monetizá-lo ao máximo.

Serviço de dropper InstallsKey

Um desses serviços, o InstallsKey, venderá computadores infectados (com seu próprio dropper) para você por menos de um dólar a ten pratas, dependendo da localidade. Não é exatamente barato, mas se você souber o que está fazendo, você terá seu “investimento” de volta bem rápido.

Desenvolvedor de malware Infostealer

O motor da “indústria”. Você precisará de vários anos de experiência com programação e, de preferência, um bom conhecimento de como o sistema operacional Home windows funciona. O malware Infostealer, geralmente carregado por meio de algum tipo de dropper, conforme descrito acima, extrai todos os tipos de informações potencialmente valiosas e envia um pacote contendo-as ao invasor por meio de algum tipo de canal de comunicação.

Uma lista não abrangente de malware infostealer disponível comercialmente inclui:

  • RedLine (desatualizado, mas ainda em uso por alguns)
  • META Stealer (bifurcação atualizada do RedLine)
  • LummaC2
  • Radamanto
  • Avançar
  • Ladrão de guaxinins (autor unique preso, mas ainda em uso)
  • AscensãoPro
  • RoubarC
  • Ladrão de Monstros

E há muitos, muitos outros. Os preços de assinatura variam de dezenas a centenas de dólares por mês.

Ladrão do LummaC2 oferecendo seus serviços em um fórum darknet de língua russa

Normalmente, você receberá um aplicativo “builder” com o qual você pode criar um arquivo .exe que atenda às suas necessidades, frequentemente ignorando a maioria das soluções AV comuns (portanto, cobrindo parcialmente a funcionalidade que os droppers fornecem). Dependendo do tipo, você receberá os dados da sua vítima por meio de um painel da internet (auto-hospedado ou fornecido a você) ou Telegram.

Versão crackeada do META Stealer disponível gratuitamente

Criptografar desenvolvedor

Ignorar antivírus pelo preço de algumas cervejas? Não é um problema. Os desenvolvedores do Crypter permitirão que você faça exatamente isso, para que você possa se concentrar em… bem, seja lá o que for que você esteja fazendo.

Um exemplo de serviço de criptografia automatizado

Um crypter é um pedaço de código que irá compactar seu arquivo .exe muito maligno de uma forma que a maioria das soluções AV comuns não notará. Tanto os droppers quanto os infostealers às vezes já incluem algum tipo de bypass de AV, mas um crypter adicionará uma camada adicional para que você possa obter resultados ainda mais sinistros.

Equipes de traficantes

Espalhar infostealers em massa é uma tarefa difícil para um hacker solitário, então é melhor se juntar a outros indivíduos com ideias semelhantes! É para isso que existem as equipes de traffer (ou трафферы). Organizando-se por meio de fóruns e canais/bots (parcialmente automatizados) do Telegram, eles fornecerão a você uma solução pronta para uso para infectar usuários desavisados ​​da Web que procuram um crack do Adobe ou skins gratuitas do Fortnite. Por uma porcentagem da criptomoeda que você conseguir roubar, eles fornecerão tudo o que você precisa, desde um ladrão indetectável até um guide sobre como criar tutoriais falsos do YouTube, que geralmente são usados ​​para espalhar.

Gerente de equipe Traffer

Você é uma pessoa sociável? Então você pode considerar uma carreira como gerente de equipe de traffer. Você só terá que colar um malware crypter/infostealer de sua escolha e criar um bot amigável do Telegram para integrar novos trabalhadores. Há alguma competição, então você deve trabalhar em seu RP e possivelmente dar aos trabalhadores uma fatia maior do bolo do que eles receberão em outro lugar. Ainda assim, se você conseguir convencer pessoas suficientes a trabalhar para você, é um bom negócio.

Operador da equipe Traffer explicando suas condições em um fórum darknet de língua russa

Distribuidor de equipe Traffer

Posição perfeita para iniciantes. Se você estiver disposto a aprender coisas novas e não tiver barreiras morais.

Selecione a equipe de traficantes com as melhores condições, a bordo usando o bot do Telegram e você está pronto para ir. Seu trabalho consistirá principalmente em criar tutoriais falsos do YouTube ou páginas de golpes, que convencerão suas vítimas a baixar a compilação do malware infostealer fornecida a você pela equipe de traficantes.

Equipe Traffer bot do Telegram, fornecendo ao “trabalhador” arquivos maliciosos preparados usados ​​para espalhar informações falsas

Dependendo da equipe que você escolher, você pode receber até 90% da criptomoeda que conseguir roubar e, como bônus, às vezes até os próprios logs (depois que eles forem “trabalhados” para métodos de monetização populares por seus gerentes). Você pode tentar outros métodos de monetização menos usuais ou apenas revendê-los ainda mais ou compartilhá-los de graça para obter respeito de seus colegas malignos.

Operador de Log Cloud

Obtenha logs de fontes públicas e apresente-os como “únicos”, “privados” e seus. Lucro. É assim que geralmente funciona. O Log Cloud é um serviço que fornece a você um fluxo de logs mais ou menos “frescos” diariamente (por uma taxa, é claro), geralmente na forma de um canal do Telegram ou um armazenamento MEGA.nz continuamente atualizado.

Canal de nuvem de logs no Telegram, oferecendo milhões de logs de ladrões coletados (principalmente) de outras fontes semipúblicas

Esses registros geralmente passaram por muitas mãos e são “trabalhados” para as solicitações mais populares, mas ainda podem conter uma pepita de ouro se você souber o que está procurando (também conhecido como “solicitação única”).

HackedList.io monitora automaticamente centenas de canais do Telegram. A taxa de duplicidade observada é bem alta:

É quantidade sobre qualidade, mas há força na quantidade também. Algumas nuvens de log acumularam terabytes de dados ao longo dos anos.

url:log:move revendedor

Terabytes de logs compactados significam ainda mais terabytes de matéria-prima. E se a única coisa que você está procurando é um par de nomes de usuário e senhas para aquele website específico ao qual você quer obter acesso, você nem precisa do pacote de log completo. Então, um segmento separado do “mercado” evoluiu: revendedores de arquivos .txt no formato URL:login:password, criados a partir dos pacotes de log padrão. Em vez de terabytes, são apenas gigabytes agora e você pode facilmente pesquisar por eles com utilitários padrão como grep.

Um exemplo de anúncio de serviço url:log:move

Caso contrário, os revendedores url:log:move operam exatamente da mesma forma que os operadores de nuvem de log, exceto que eles têm que armazenar e lidar com menos dados. Existem outros serviços, na forma de websites e bots do Telegram, que permitem que você pesquise por eles, então você nem precisa saber como usar grep ou onde obter esse tipo de logs.

Bot de revendedor automatizado url:log:move no Telegram

Operador de Mercado Automatizado

Quer logs realmente únicos e privados? Visite um website de mercado de logs automatizado! Vai ser muito mais caro (sim, as ofertas de nuvem de logs são boas demais para ser verdade), mas você tem uma probability de ser o primeiro (bem, o segundo ou terceiro, mas isso ainda é justo) a ter esse log.

Mercado Russo, atualmente o maior mercado automatizado da darknet onde você pode obter logs de infostealer

Por US$ 10 ou menos, os agentes de ameaças podem obter todos os tipos de acesso nessas plataformas, com o benefício adicional de que tal log será exclusivamente deles, pelo menos por algum tempo. No passado, havia três grandes mercados operando simultaneamente. Depois que o Genesis.Market foi derrubado em uma operação internacional de aplicação da lei, e o desenvolvimento do mercado 2Easy foi abandonado, resta apenas um grande participant: o infame Russian Market. Até hoje (13-07-2024), ele tem 7.266.780 registros disponíveis para venda, e um número desconhecido, mas certamente grande, de logs já foi vendido na plataforma.

Corretor de acesso inicial

Procurar informações válidas e valiosas nos terabytes de dados disponíveis por meio de nuvens de log ou mercados automatizados é como procurar uma agulha em um palheiro. Mas se você conseguir encontrá-la, ela pode lhe render uma grande quantia de dinheiro. É aí que os corretores de acesso inicial entram. Eles procuram credenciais (ainda) válidas obtidas por infecções de infostealer e as usam para estabelecer pontos de apoio em redes comprometidas. Então, eles as vendem para qualquer um disposto a pagar, geralmente para agentes de ameaças como gangues de ransomware.

Aqui está um exemplo de um fórum darknet bem conhecido:

Uma verificação rápida no HackedList.io revela que o acesso ao OWA provavelmente se origina de uma violação de infostealer:

Script Oportunista-Kiddie

Existem gangues de ransomware, APTs, corretores qualificados de acesso inicial e, claro, existem os script-kiddies: os jovens entediados em busca de dinheiro rápido ou apenas maneiras de causar estragos na web.

Dados disponíveis publicamente (ou por um preço baixo) de infecções de infostealer fornecem a eles uma ótima ferramenta para causar muitos danos com pouco conhecimento. Você não precisa saber nenhuma programação porque outra pessoa já escreveu o ladrão. Você não precisa saber como espalhá-lo porque outra pessoa já o fez. Você nem precisa tentar manualmente as credenciais obtidas para verificar se elas funcionam porque, sim, você adivinhou, outra pessoa já criou uma ferramenta para fazer isso por você. Então você apenas pega a fruta mais fácil e causa danos.

Um exemplo de ferramenta usada para verificar a validade das credenciais incluídas nos logs do infostealer

E não, não estamos falando sobre invadir servidores do Minecraft ou do Discord. LAPSUS$, um grupo hacker de adolescentes de 16 a 21 anos, conseguiu roubar 780 gigabytes de dados da gigante de publicação de videogames Digital Arts. O mesmo grupo estava por trás do hack do Uber, onde eles obtiveram acesso por meio de uma conta comprometida de um contratante externo. Em ambos os casos, a causa raiz foi uma infecção de infostealer.

Resumo

Para resumir, aqui está um diagrama interessante:

HackedList.io se concentra em todos os tipos de comerciantes de toras e mercados darknet e podem alertá-lo antes que os bandidos sejam rotulados como atacantes nos infográficos acima podem tirar proveito.

Qual é realmente o tamanho do problema e o que você pode fazer?

Aqui estão algumas estatísticas:

  • detectamos 45.758.943 dispositivos infectados no complete, dos quais 15.801.893 tinham pelo menos um conjunto de credenciais incluído no vazamento, nos últimos 4 anos
  • no complete, identificamos 553.066.255 combinações de URL/nome de usuário/senha
  • detectamos dispositivos infectados em 183 países
  • em média, identificamos mais de 10000 novas vítimas por dia
(aumento em fevereiro causado pela descoberta de um grande vazamento de dados antigos)

A má notícia é que, com uma taxa de infecção tão alta, há uma grande probabilidade de sua organização já estar comprometida. Quanto maior ela for, maior a probabilidade.

A boa notícia é que você pode verificar de graça se isso acontece – basta inserir seu domínio no HackedList.io. E se você quiser ficar protegido, temos uma solução para isso.

Exit mobile version