2018-10-08

SEGURANÇA

Check Point descobre malware alojado na Dark Web

A 17 de setembro, a Check Point Research encontrou um novo online builder apelidado de ‘Gazorp’ hospedado na Dark Web. O Gazorp foi desenvolvido para criar binários do malware conhecido, o Azorult, um malware que rouba de informação e é utilizado para roubar dados das vítimas

O malware descoberto pela Check Point foi desenvolvido para criar binários do malware conhecido, o Azorult, um malware que rouba de informação e é utilizado para roubar do utilizador, passwords, informação do cartão de crédito e dados relacionados às criptomoedas é uma das faces deste builder. Adicionalmente, o serviço do Gazorp é gratuito e oferece aos agentes de ameaças a oportunidade de criar novas réplicas do Azorult e seu correspondente painel de código para servidores, necessitando somente de fornecer o endereço da consola de comando e controlo (C&C). Este endereço é depois embebido no código binário recém-criado, que poderá ser distribuído da forma que o cibercriminoso queira.

A análise da Check Point sobre o malware construído pelo Gazorp, mostra que este cria de forma eficaz exemplares da versão 3.0 do Azorult, o qual começou a ser distribuído há cinco meses. Desde então, o malware já teve duas atualizações e as versões 3.1 e 3.2 foram lançadas e observadas. Estas atualizações tornaram a versão construída pelo Gazorp obsoleta, mas mesmo uma versão antiga tem a capacidade de ser utilizada por um agente para recolher as informações da vítima e utilizá-las, bem como contém atualizações e melhorias no painel de código do malware C2.

A altura em que foi lançado este builder torna-o muito interessante. Isto porque, o surgimento do Gazorp na Dark Web ocorreu antes da divulgação do código do painel do Azorult para as versões 3.1 e 3.2. Na realidade, esta divulgação permitiu que qualquer pessoa que quisesse alojar um painel Azorult C&C o pudesse efetuar sem muito esforço. A divulgação também continha um builder para a versão mais recente do malware, o qual não parecia ser o original usado pelos seus criadores. Ao invés, apenas codificava e colocava o endereço C&C como um argumento, por parte do utilizador, num campo particular enquanto código binário pronto a usar. É possível que este mecanismo simples e a entrega das versões mais recentes ao público inspirou os autores do Gazrop a colocá-lo online.

Outro ponto a referir é que o link do online builder direciona para um canal do Telegram onde a atividade dos seus criadores é bem visível ao público, não escondendo nada. Quem participa pode receber atualizações do projeto e sugerir ideias para a sua melhoria. Os autores também encorajam os utilizadores a doarem dinheiro para o projeto, emitindo uma transação para uma carteira de bitcoin específica, a qual parece ser a única forma de monetizar o Gazorp. Em troca, indicam que os utilizadores poderão beneficiar de mais atualizações.

Recomendado pelos leitores

China manipulou Hardware da Supermicro
SEGURANÇA

China manipulou Hardware da Supermicro

LER MAIS

Os desafios do novo escritório digital
SEGURANÇA

Os desafios do novo escritório digital

LER MAIS

Ataques fileless em ascensão
SEGURANÇA

Ataques fileless em ascensão

LER MAIS

IT CHANNEL Nº 51 Outubro 2018

IT CHANNEL Nº 51 Outubro 2018

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.