0
0
Um site oculto do Tor apelidado de Eternity Project está oferecendo um kit de ferramentas de malware, incluindo ransomware, worms e – em breve – programas de negação de serviço distribuídos, a preços baixos.
De acordo com pesquisadores da empresa de inteligência cibernética Cyble, os operadores do site Eternity também têm um canal no Telegram, onde fornecem vídeos detalhando recursos e funções do malware do Windows. Uma vez comprado, cabe ao comprador como os computadores das vítimas são infectados; Deixaremos isso para sua imaginação.
O canal telegrama tem cerca de 500 assinantes, o Time Cyble documentou esta semana. Uma vez que alguém decide comprar um ou mais dos componentes de malware da Eternity, ele tem a opção de personalizar o binário final executável para quaisquer crimes que queiram cometer.
“Curiosamente, os indivíduos que compram o malware podem utilizar o Telegram Bot para construir o binário”, escreveram os pesquisadores. “Os [atores de ameaças] fornecem uma opção no canal do Telegram para personalizar os recursos binários, o que fornece uma maneira eficaz de construir binários sem dependências.”
As vendas e assinaturas de malware estão vivas e bem no mundo dos cibercriminosos, com tipos populares de malware – de ransomware a DDoS e programas de phishing, como ilustrado pela detecção da ferramenta de phishing frappo como serviço no final do mês passado – sendo vendida por desenvolvedores. Alguns miscreants também estão oferecendo caminhos para redes comprometidas através de credenciais roubadas ou acesso direto.
Com malware como serviço, o programador tem várias oportunidades de ganhar dinheiro com seu trabalho. Eles podem usar seus próprios malwares para ensacar ganhos ilícitos; trazer dinheiro alugando ou vendendo o código; e cobrar por suporte e serviços relacionados. Ao mesmo tempo, bandidos que não têm as habilidades ou tempo para desenvolver seu próprio código malicioso podem simplesmente comprá-lo de outra pessoa.
“Não se fala sobre isso comumente, mas também não é uma surpresa”, disse Casey Ellis, fundador e CTO da empresa de segurança cibernética Bugcrowd, ao The Register.
“Este é um dos muitos exemplos de uma empresa criminosa tomando pistas de empresas de tecnologia e crescimento de negócios e aumentando o valor de seus clientes por meio da flexibilidade de recursos e modelos de negócios semelhantes ao SaaS.”
Preços do orçamento
A lista de malwares que podem ser comprados do Projeto Eternity é extensa. Para uma assinatura anual de US$ 260, eles podem comprar o Eternity Stealer, que pode roubar senhas, cookies, cartões de crédito e carteiras de criptomoedas do PC infectado da vítima e enviar as informações para um Telegram Bot. Ele pode atacar mais de 20 tipos de navegador, incluindo Chrome, Edge e Firefox, além de gerenciadores de senhas, clientes VPN e FTP, software de jogos, clientes de e-mail e mensageiros.
O Eternity Stealer exemplifica por que os indivíduos precisam ser agressivos na proteção de seus sistemas, de acordo com Ron Bradley, vice-presidente do fornecedor de gerenciamento de riscos de terceiros Shared Assessments.
“Navegadores da Web e outras ferramentas não construídas para o gerenciamento de identidade e senha são semelhantes ao uso de um guarda-chuva em um furacão”, disse Bradley ao The Register.
“Os dias de ser ciber-complacente acabaram. Encontre e use um bom gerenciador de senhas. Pague pelas versões premium, que custam menos que uma xícara de café e um bagel para uma assinatura de um ano.”
O Eternity Miner, que é vendido por US$ 90 por uma assinatura anual e é usado para desviar recursos de sistemas comprometidos para minerar para criptomoedas, oferece a capacidade de se esconder do Gerenciador de Tarefas do computador e reiniciá-lo automaticamente quando ele foi morto. Outra ferramenta de criptominação, a Eternity Clipper, está disponível por US$ 110 e é usada para monitorar a área de transferência de um sistema infectado para menções de carteiras de criptomoedas e substituí-las pelos endereços de carteira cripto do fraudador.
O ransomware pode ser feito por US$ 490 e não só pode criptografar todos os dados – documentos, fotos e bancos de dados – como também pode fazê-lo offline, pois não requer uma conexão de rede. Ele usa algoritmo de criptografia AES e RSA, e inclui a opção de um prazo para pagar o resgate.
“Se as vítimas não pagarem o resgate dentro do prazo, os arquivos criptografados não poderão ser descriptografados”, escreveram os pesquisadores da Cyble. “Isso é definido como um recurso padrão ao compilar um binário ransomware.”
Há também malware de worm por US$ 390 que se espalha de sistema para sistema via unidades USB e nuvem, arquivos infectados e compartilhamentos de rede, e enviará mensagens de spam do Telegram e Discord para canais e contatos para enganar as pessoas a também baixarem e executarem a coisa. O bot DDoS ainda está sendo construído, de acordo com Cyble.
“Suspeitamos que o desenvolvedor por trás do projeto Eternity esteja aproveitando o código do repositório gitHub existente e, em seguida, modificando e vendendo-o sob um novo nome”, escreveram. “Nossa análise também indicou que o Jester Stealer também poderia ser rebatizado deste projeto github em particular, o que indica algumas ligações entre os dois atores de ameaça.”
Eles também disseram ter visto um aumento significativo nos crimes cibernéticos nos canais do Telegram e fóruns da dark web. Isso não surpreende John Bambenek, principal caçador de ameaças para o fornecedor de cibersegurança Netenrich.
“Atores de ameaças têm mudado para canais do Telegram”, disse Bambenek ao The Register.
“Embora seja novo que você possa usar um bot do Telegram para construir ou adquirir malware de commodities, é apenas o caminho mais recente para o mercado de commodities e malware low-end para o público infantil do script. Pelos preços que estão cobrando, eu não esperaria ver isso muitas vezes em ataques corporativos, mas certamente ataques contra consumidores e SMBs que não têm as ferramentas para se proteger de ameaças básicas seriam as vítimas mais frequentes dessas ferramentas.”
FONTE: THE REGISTER