A ideia de qualquer malware voltado para empresas iria além do escopo. Aqui, o Varonis Threat Labs apresenta 9 importantes variantes de malware que foram particularmente direcionadas a informações em empresas nos últimos anos - principalmente trojans de acesso remoto (RAT), ladrões de informações ou trojans bancários.
Além de uma tendência clara para ransomware altamente individualizado, o Varonis Threat Labs também notou uma disseminação crescente do chamado "malware de commodity" no ano passado. Este termo refere-se a malware que está disponível para compra ou download gratuito em grande escala, não é personalizado para vítimas individuais e é usado por uma variedade de invasores diferentes. De acordo com as observações dos pesquisadores de segurança, entre o enorme número de variantes de malware disponíveis, as nove seguintes em particular desempenham um papel proeminente.
njRAT – Trojan de acesso remoto (RAT)
Observado pela primeira vez no final de 2012/início de 2013, o njRAT é um Trojan de acesso remoto (RAT) amplamente desenvolvido originalmente pela gangue de cibercrimes Sparclyheason. O código-fonte deste RAT já foi publicado em maio de 2013. Como resultado, é usado principalmente por criminosos cibernéticos menos experientes. Numerosos guias e tutoriais sobre como usá-lo foram publicados em fóruns clandestinos e no YouTube. O njRAT ainda é muito difundido e é distribuído principalmente por meio de campanhas de spam. Também é encontrado em versões 'trojanizadas' de aplicativos legítimos baixados de fontes suspeitas e sites de compartilhamento de arquivos.
Semelhante a outros programas RAT populares, o njRAT oferece recursos de controle e monitoramento remoto, bem como a capacidade de transferir e executar arquivos, manipular o registro e acessar um shell remoto. Além disso, o RAT pode gravar áudio e vídeo remotamente por meio de microfones e webcams conectados, bem como usar keylogging e funções de roubo de senha.
Caderno de formulários (XLoader)
O Formbook foi observado pela primeira vez no início de 2016 e renomeado como XLoader em 2020. O Formbook está disponível como malware-as-a-service em fóruns clandestinos e é comumente usado por invasores menos qualificados para roubar credenciais ou outros dados das vítimas.
A disseminação do Formbook continuou a aumentar em 2021, sem dúvida devido à sua disponibilidade, baixo custo e facilidade de uso. Originalmente, o Formbook era voltado apenas para o Windows. No entanto, desde a introdução do XLoader, o Apple macOS também é suportado. Além de suas habilidades de roubo de credenciais, o Formbook também inclui alguns recursos semelhantes ao RAT, como a capacidade de transferir e executar cargas úteis e forçar uma reinicialização ou desligamento do sistema. A esse respeito, o Formbook também é adequado como um ponto de entrada para espalhar cargas maliciosas e também para atingir outros objetivos além do roubo de dados.
NanoCore - Trojan de acesso remoto (RAT)
O NanoCore foi descoberto pela primeira vez em 2013 e pode ser adquirido por cerca de US$ 25. Versões “crackeadas” agora também são difundidas no submundo do crime cibernético. O malware oferece funções RAT típicas que podem ser complementadas por uma arquitetura modular. Plugins podem ser usados para expandir significativamente a funcionalidade. Graças à disponibilidade de versões quebradas e vazadas, o NanoCore ainda é amplamente utilizado hoje. A distribuição geralmente ocorre por meio de e-mails de phishing e cópias piratas infectadas.
Lokibot - ladrão de informações
Lokibot (também conhecido como Loki e LokiPWS) é um ladrão de informações que apareceu pela primeira vez em meados de 2015 e foi inicialmente vendido em fóruns de crimes cibernéticos por até US$ 400 antes de seu código-fonte vazar. Ele suporta módulos adicionais, como um keylogger e recursos de roubo de carteira de criptomoeda. Mais recentemente, tem sido frequentemente observado em conexão com campanhas de phishing COVID-19.
Remcos - Trojan de acesso remoto (RAT)
O Remcos é comercializado como uma ferramenta de acesso remoto comercial "legítima" e é atualizado regularmente por seus desenvolvedores. O Remcos é um dos Trojans de acesso remoto mais difundidos e, como ferramentas semelhantes, destina-se principalmente a invasores inexperientes que podem descobrir mais sobre o malware em vários tutoriais do YouTube. No entanto, muitos atacantes profissionais também usam Remcos para evitar ter que desenvolver suas próprias ferramentas e poder se concentrar nas outras fases do ataque.
Além dos recursos RAT padrão, o Remcos oferece um recurso de "Script Remoto" que permite que o código seja executado simultaneamente em vários hosts. Além disso, os usuários do Remcos podem adquirir serviços adicionais dos desenvolvedores, por ex. B. um mailer em massa para enviar e-mails de phishing e um serviço de DNS dinâmico. Isso fornece um único nome de host que facilita o acesso ao host de comando e controle (C2) e permite que os invasores atualizem seu endereço IP sem precisar atualizar o binário Remcos.
AZORult - Ladrão de Informações
Descoberto pela primeira vez no início de 2016, o AZORult é um ladrão de informações frequentemente distribuído por meio de campanhas de malspam que abordam questões atuais ou se disfarçam como comunicações comerciais legítimas. Ele distribui principalmente documentos do Microsoft Office com macros maliciosas. Quando as vítimas ativam macros, a infraestrutura de comando e controle dos invasores baixa a carga maliciosa. Em seguida, ele lança o AZORult para roubar dados confidenciais, incluindo credenciais de login, detalhes do cartão de pagamento, dados de navegação e carteiras de criptomoedas antes de enviá-los para o C2 e desabilitar-se.
O AZORult geralmente ocorre em conjunto com outros ataques, a maioria dos quais com outros objetivos. Além de se disfarçar como comunicações comerciais, a proliferação geralmente ocorre por meio de "cracks" infectados ou outro conteúdo questionável, geralmente associado à violação de direitos autorais.
Netwire - Trojan de acesso remoto (RAT)
O Netwire foi identificado pela primeira vez em 2012 e é muito difundido. Remote Access Trojan (RAT), geralmente é distribuído por meio de campanhas de phishing que se apresentam como confirmações de pedidos ou notificações de rastreamento. Além das funções RAT padrão, o Netwire possui uma função para leitura de cartões de pagamento desde 2016. Isso visa especificamente os dispositivos de pagamento nas lojas.
A Netwire usa criptografia especial para seu tráfego de comando e controle para evitar a detecção e complicar as investigações. Os dados roubados são criptografados antes da transmissão.
Danabot - Trojan bancário
Danabot é um Trojan bancário modular que foi originalmente usado por um único grupo e agora é vendido para outros cibercriminosos como Malware-as-a-Service (MaaS). Inicialmente, o Danabot se concentrou em roubar credenciais, contas de criptomoedas e credenciais bancárias por meio de injeções na web. No entanto, a arquitetura modular permite que o malware seja facilmente personalizado e usado de várias maneiras. Por exemplo, as funções de criptografia RAT e ransomware estão disponíveis.
Em outubro de 2021, um pacote NPM para a popular biblioteca JavaScript UAParser.js foi comprometido e modificado para baixar e executar o Danabot junto com um minerador de criptografia. O pacote legítimo é baixado entre XNUMX e XNUMX milhões de vezes por semana, demonstrando o enorme impacto de um ataque à cadeia de suprimentos.
Emotet – Malware, Spy, Downloader, Ransomware
O Emotet é provavelmente um dos programas maliciosos mais conhecidos. O Emotet foi originalmente desenvolvido como um Trojan bancário. Embora o Emotet tenha mantido alguns recursos básicos de roubo de informações, o malware evoluiu ao longo dos anos para um downloader de outras cargas maliciosas. Os atores por trás do Emotet também ofereceram seu botnet como um serviço, tornando-se um distribuidor líder de outras ameaças populares, como o ransomware Ryuk.
Nesse ínterim, o Emotet também se acalmou um pouco devido a uma derrubada internacional por várias agências de aplicação da lei. No entanto, as atividades estão aumentando novamente, às vezes sob novos nomes e em diferentes constelações.
Mais em Varonis.com
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,