A Equipe Global de Pesquisa e Análise (GReAT), da Kaspersky, anunciou na última segunda, 17, que descobriu 3 novos malware em seu último relatório: ScarletStealer, Acrid e uma forma atualizada do Sys01
A Equipe Global de Pesquisa e Análise (GReAT), da Kaspersky, anunciou nesta segunda, 17, que descobriu 3 novos malware em seu último relatório: ScarletStealer, Acrid e uma forma atualizada do Sys01.
O primeiro citado já foi detectado mais de 100 vezes no Brasil neste ano. Ele é conhecido também como “CryptoSwap” e está direcionado principalmente a clientes de carteiras de criptomoedas.
O ScarletStealer teve sua segunda maior detecção no Brasil, com 123 bloqueios somente neste ano. O malware atua em dois estágios: o primeiro é feito logo após a infecção inicial e basicamente é um scan do sistema para identificar a existência de determinados estruturas de pastas que indicam a existência de carteiras digitais – que é o foco desse malware. Caso sejam encontradas, o próprio malware baixa um segundo módulo que será responsável por realizar o roubo das criptomoedas.
Segundo o relatório, o Acrid é escrito para o sistema operacional de 32 bits, apesar da maioria dos sistemas atuais serem de 64 bits. Após uma inspeção mais detalhada do malware pelos especialistas da Kaspersky, o motivo da compilação para um ambiente de 32 bits ficou claro: o autor decidiu usar a técnica “Heaven’s Gate”, que permite que aplicativos de 32 bits acessem o espaço de 64 bits para contornar determinados controles de segurança e afetar o maior número possível de máquinas.
A equipe da Kaspersky explica que em termos de funcionalidade, o malware incorpora o que se espera de um stealer: roubar dados do navegador (cookies, senhas, dados de login, informações de cartão de crédito etc.), carteiras locais de criptomoedas, arquivos específicos e credenciais de aplicativos instalados.
Malwares que roubam criptomoeda
O terceiro malware relatado pela empresa, é o anteriormente conhecido como Album Stealer ou S1deload Stealer. O Sys01 é um stealer relativamente desconhecido e que existe desde, pelo menos, 2022. Seu vetor de infecção é atrair usuários a baixarem arquivos ZIP maliciosos disfarçados de conteúdo adulto, por meio de uma página do Facebook.
Agora, ele consegue roubar dados relacionados ao Facebook e enviar dados roubados do navegador, localizados e organizados em uma estrutura de diretório específica para o C2. Também possui funções de backdoor, podendo fazer o download e executar arquivos específicos.
“O surgimento desses novos “stealers” serve como um lembrete gritante da demanda insaciável dentro do submundo do crime por ferramentas que facilitam o roubo de dados. Com o potencial de consequências terríveis, como perdas financeiras e violações de privacidade, é importante que indivíduos e organizações permaneçam vigilantes e adotem medidas proativas de cibersegurança”, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
