0
0
Um preço de us$ 5 em um Trojan de acesso remoto (RAT) de 3 anos de idade tem preocupado alguns pesquisadores de segurança, que veem a mudança como sinais de uma possível corrida ao fundo em termos de preços — ou que novos desenvolvedores disruptores estão entrando no mercado de cibercriminosos.
De acordo com uma análise do malware pela empresa de software e segurança BlackBerry, uma variante extremamente de baixo custo do malware conhecido como Dark Crystal RAT (também conhecido como DCRat) parece ser a criação de um único desenvolvedor russo. O criador escreveu o código no popular C#, mas também codificou o servidor administrativo no JPHP relativamente obscuro, um clone da linguagem web PHP que é executado em uma máquina virtual Java. A plataforma de malware tornou-se popular entre os hackers de nível básico, mas tem muitos dos recursos — como uma arquitetura modular e plug-ins personalizados — de programas mais conhecidos.
O malware pode ser apenas uma ameaça de nicho, mas o desenvolvimento de novas ferramentas de ataque – embora menores – destaca o fato de que as empresas precisam estar atentas, diz Jim Simpson, diretor de inteligência de ameaças da BlackBerry.
“Nada o torna especialmente perigoso — outra coisa é estar ciente e tomar as precauções usuais”, diz ele, acrescentando que as empresas devem se certificar de que seus usuários finais sejam treinados para detectar e relatar e-mails suspeitos e que a autenticação multifatorial seja implantada. “É provável que alguém, vendo uma lacuna no mercado por um banco de ferramentas mais barato, tenha criado algo que funcionaria para pessoas que procuram preencher essa necessidade.”
No entanto, o baixo e baixo preço do software tocou alguns sinos de alerta para os pesquisadores. No mundo do software legítimo, o código aberto e livre é o nome do jogo, mas os cibercriminosos que oferecem preços de baixo do barril são uma anomalia, disseram os pesquisadores.
“Essa faixa de preço é uma característica curiosa, pois faz parecer que o autor não é particularmente orientado para o lucro”, afirmaram os pesquisadores da BlackBerry na análise. “Pode ser que eles estejam simplesmente lançando uma rede ampla, tentando obter um pouco de dinheiro de um monte de pessoas maliciosamente conscientes. Também pode ser que eles tenham uma fonte alternativa de financiamento, ou este é um projeto passional e não sua principal fonte de renda.”
Simpson observa que um operador solitário tem custos operacionais e despesas mais baixas, de modo que poderia levar a preços mais baixos. Além disso, enquanto o preço original tinha sido fixado em 500 rublos, a desvalorização da moeda russa levou o desenvolvedor a definir os preços mais recentes em dólares americanos.
“Se você pagar uma ninharia por algo, seria sábio esperar que ele seja menos funcional ou mal apoiado, mas o DCRat parece quebrar essa regra de uma maneira profundamente desconcertante”, disseram os pesquisadores. “Este código rat está sendo melhorado e mantido diariamente. Se a ameaça está sendo desenvolvida e sustentada por apenas uma pessoa, parece que é um projeto em que estão trabalhando em tempo integral.”
Dentro do Mundo do Cristal Negro (RAT)
O malware Dark Crystal apareceu pela primeira vez pelo menos já em 2018, com o programa escrito em Java, de acordo com uma análise de maio de 2020 pela empresa de resposta a incidentes Mandiant. Em 2019, o desenvolvedor adicionou uma estrutura de plug-in personalizada e redesenhou o programa usando C#. Em 2020, o programa teve pelo menos 50 comandos diferentes e chamou a atenção dos respondentes de incidentes, segundo análise de Mandiant.
O malware DCRat tem três componentes diferentes: um programa malicioso que é executado nos sistemas comprometidos, uma única página web escrita em PHP que funciona como a interface de comando e controle, e a ferramenta de administrador escrita em JPHP, uma linguagem de programação incomum normalmente usada por programadores iniciantes interessados em jogos. O uso do JPHP é provável porque o desenvolvedor é conversante nessa linguagem de programação, em vez de por causa de qualquer vantagem específica, diz Simpson da BlackBerry.
“O próprio cliente agora é baseado em .NET”, diz ele. “É apenas o painel de administração — lado do servidor — que é desenvolvido em JPHP, e é improvável que seja escolhido por sua ofuscação, mais provável por sua facilidade de desenvolvimento e portabilidade entre sistemas operacionais.”
A evolução do DCRat se encaixa perfeitamente com a tendência de grupos se moverem para criar sua própria infraestrutura, com o objetivo de transformar acesso, compromisso e ransomware em serviços. Enquanto algumas plataformas de acesso remoto — como o Pipedream, focado no sistema de controle industrial (ICS), são o produto de equipes patrocinadas por estados-nação, outras vêm de grupos menores de operadores de cibercriminosos que estão focados em ficar à frente de defensores e engenheiros reversos, assim como o DCRat.
O malware REvil, por exemplo, voltou dos mortos, depois que investigadores internacionais e agências de aplicação da lei interromperam o grupo e a Rússia prendeu alguns dos membros do grupo. Uma amostra recente de ransomware e uma infraestrutura reconstituída sugerem que alguém, ou algum grupo, com conexões com os operadores anteriores estão agora revivendo a oferta de ransomware como serviço (RaaS).
Embora o malware de taxa de corte do DCRat não se coma em muitas ameaças, a ferramenta de ataque está sendo frequentemente melhorada, e analistas de inteligência de ameaças devem ficar de olho em sua evolução, observou a equipe do BlackBerry.
FONTE: DARK READING