Cisco Talos análisa com profundidade super vírus com foco exclusivo no Brasil.
- A Cisco Talos detalha campanha de roubo de informações, nomeada de Astaroth, que tem mirado o Brasil com uma variedade de iscas sofisticadas e complexas, incluindo temas como COVID-19, nos últimos nove a 12 meses.
- Cheio de técnicas de ofuscação e anti-análise/evasão, Astaroth inibe tanto a detecção quanto a análise de sua família de malware.
- Extremamente criativo, Astaroth utiliza as descrições dos canais do YouTube para comunicações de comando e controle codificadas e criptografadas (C2).
Como se já não bastasse o momento difícil que estamos vivendo atualmente, o cenário digital também traz novas ameaças virtuais, repleto de famílias de malwares que estão bombardeando constantemente empresas e indivíduos no Brasil. A maioria dessas ameaças tem uma coisa em comum: dinheiro. Muitos desses golpes geram receita para os criminosos online que são motivados financeiramente, ao adquirirem acesso a dados armazenados em sistemas que podem ser monetizados de diversas maneiras. Para maximizar os lucros, alguns autores de malware e/ou distribuidores de malware vão a extremos para evitar a detecção, especificamente para evitar ambientes de análise automatizados e analistas de malware que podem estar depurando-os. A campanha de malwares, Astaroth, são um exemplo de toda teoria sobre tipos e técnicas de evasão aplicados na prática.
Os responsáveis por estas campanhas de malware estavam tão preocupados com a evasão que não incluíam apenas uma ou duas verificações anti-análise, mas dezenas de verificações, incluindo aquelas raramente vistas na maioria dos malwares de commodities. Esse tipo de campanha destaca o nível de sofisticação que alguns cibercriminosos motivados financeiramente conseguiram nos últimos anos. Esta campanha tem como alvo exclusivo o Brasil, e conta com ataques projetados especificamente aos cidadãos brasileiros, incluindo o status COVID-19 e Cadastro de Pessoas Físicas (CPF).
Além disso, o “Dropper” programa usado para baixar o conteúdo principal usa técnicas sofisticadas e muitas camadas de ofuscação e evasão antes mesmo de entregar o conteúdo final malicioso. Há outra série de verificações, uma vez que a carga é entregue, para garantir que o arquivo será executado em sistemas localizados no Brasil e não num pesquisador ou algum outro sistema de segurança como Sandboxing. Além disso, este malware usa novas técnicas para atualizações de comando e controle via YouTube, e uma infinidade de outras técnicas e métodos, tanto novos quanto antigos.
Esta análise, leia o estudo completo aqui, fornecerá uma profunda pesquisa da família de malware Astaroth e detalhará uma série de campanhas que o time da Talos observou nos últimos nove a 12 meses. Isso incluirá um detalhado passo a passo do ataque desde a mensagem inicial de spam, até os mecanismos Dropper, e finalmente as técnicas de evasão que a Astaroth implementou. Esse malware é o mais esquivo possível e provavelmente continuará sendo uma dor de cabeça tanto para usuários quanto para defensores no futuro. Além disso, essa família de malware está sendo atualizada e modificada a uma taxa alarmante, implicando que seu desenvolvimento ainda está sendo ativamente melhorado. Esses adversários também estão se movendo rapidamente, trocando quase que semanalmente por novos golpes, para se manterem ágeis e à frente dos defensores.
Essas ameaças financeiramente motivadas continuam a crescer em sofisticação, à medida que os cibercriminosos estão encontrando mais maneiras de gerar grandes somas de dinheiro e lucros. Astaroth é apenas mais um exemplo disso e a evasão/anti-análise será primordial para o sucesso das famílias de malware no futuro.
As organizações precisam ter várias camadas de tecnologia e controles para minimizar os possíveis impactos negativos destas ameaças. Para isso é importante atribuir tecnologias de segurança que cobrem Endpoint, Domínios, DNS, web e rede. Ao colocar essas camadas de segurança nestes tipos de tecnologias, as organizações aumentarão a probabilidade de que malwares evasivos e complexos como o Astaroth sejam rapidamente detectados.