Uma análise de registros de malware para roubo de informações publicados na darkish net levou à descoberta de milhares de consumidores de materials de abuso sexual infantil (CSAM), indicando como essas informações podem ser usadas para combater crimes graves.
“Aproximadamente 3.300 usuários únicos foram encontrados com contas em fontes CSAM conhecidas”, disse a Recorded Future em um relatório de prova de conceito (PoC) publicado na semana passada. “Notáveis 4,2% tinham credenciais para múltiplas fontes, sugerindo uma maior probabilidade de comportamento criminoso.”
Nos últimos anos, variantes prontas para uso de ladrões de informações se tornaram uma ameaça generalizada e onipresente, visando vários sistemas operacionais com o objetivo de desviar informações confidenciais, como credenciais, carteiras de criptomoedas, dados de cartões de pagamento e capturas de tela.
Isso é evidenciado pelo surgimento de novas cepas de malware stealer, como Kematian Stealer, Neptune Stealer, 0bj3ctivity, Poseidon (antigo RodStealer), Satanstealer e StrelaStealer.
Distribuídos por meio de phishing, campanhas de spam, software program crackeado, websites de atualizações falsas, envenenamento de web optimization e malvertising, os dados coletados por meio desses programas geralmente chegam à darkish net na forma de registros de ladrões, de onde são comprados por outros criminosos cibernéticos para promover seus esquemas.
“Os funcionários salvam regularmente credenciais corporativas em dispositivos pessoais ou acessam recursos pessoais em dispositivos organizacionais, aumentando o risco de infecção”, observou a Flare em um relatório em julho passado.
“Existe um ecossistema complexo no qual fornecedores de malware como serviço (MaaS) vendem malware para roubo de informações em canais ilícitos do Telegram, agentes de ameaças os distribuem por meio de softwares crackeados falsos ou e-mails de phishing e, então, vendem registros de dispositivos infectados em mercados especializados na darkish net.”
O Insikt Group da Recorded Future disse que conseguiu identificar 3.324 credenciais exclusivas usadas para acessar domínios CSAM conhecidos entre fevereiro de 2021 e fevereiro de 2024, usando-as para desmascarar três indivíduos que mantinham contas em nada menos que quatro websites.
O fato de os registros de ladrões também incluírem endereços de carteiras de criptomoedas significa que eles podem ser usados para determinar se os endereços foram usados para obter CSAM e outros materiais prejudiciais.
Além disso, países como Brasil, Índia e EUA tiveram as maiores contagens de usuários com credenciais em comunidades CSAM conhecidas, embora a empresa tenha dito que isso pode ser devido a uma “super-representação devido à obtenção de conjuntos de dados”.
“Malware para roubo de informações e credenciais roubadas devem continuar sendo um pilar elementary da economia do crime cibernético devido à alta demanda por agentes de ameaças que buscam acesso inicial aos alvos”, disse, acrescentando que compartilhou suas descobertas com as autoridades policiais.
“Os registros de roubo de informações podem ser usados por investigadores e parceiros policiais para rastrear a exploração infantil na darkish net e fornecer informações sobre uma parte da darkish net que é especialmente difícil de rastrear.”