Por Felipe Demartini
Uma nova campanha de malware ladrão de dados está focada nos usuários que usam o Google para procurar pelo Open Office, anteriormente uma das alternativas de código aberto ao Office mais populares do mundo. O Mars Stealer, como está sendo chamado, rouba dados do navegador das vítimas e faz parte de uma campanha em ascensão, cujas operações funcionam sob serviço e vêm ganhando força em todo o mundo.
A campanha que serviu para que os especialistas da Morphisec descobrissem a praga tem os usuários canadenses como foco, com anúncios que promovem sites falsos e simulam a aparência do Open Office sendo usados como isca. O download disponível, entretanto, é o do Mars Stealer, que vem disfarçado de arquivo ZIP e acompanhado também de ferramentas usadas para travar arquivos ou baixar novas pragas para os computadores das vítimas.
Nesta etapa inicial de ataques, todas as informações roubadas são obtidas a partir do que está salvo no navegador do usuário. Os volumes incluem dados de cartão de crédito e credenciais, além de recursos completados automaticamente, extensões instaladas e telemetria como endereço IP, país e fuso horário; a ideia é que a campanha possa ser uma etapa inicial para novos golpes, devido à presença de um carregador de novos malwares e o foco comum deste tipo de trojan em carteiras de criptomoedas.
De acordo com os especialistas, a escolha pelo Open Office também está relacionada à popularidade da solução, que ainda é grande mas não tanta quanto a do LibreOffice, o líder do segmento na atualidade e, também, com detecção de fraude mais rápida. A escolha fez com que o site que dissemina a praga permanecesse no ar por um longo tempo até ser retirada do ar depois que o serviço de hospedagem foi informado sobre o caráter fraudulento da página.
Erros revelaram mais sobre quadrilha que rouba dados
Outro aspecto que indica esta como uma campanha ainda em estágios iniciais são os erros quase amadores cometidos pelos criminosos, que não condizem com a operação organizada que vem sendo detectada quando o assunto é o Mars Stealer. O servidor de comando, por onde os criminosos recebem as informações das vítimas, foi localizado aberto para qualquer um ver e, inclusive, continha os dados dos próprios bandidos, usados em fases de testes.
De acordo com a Morphisec, os bandidos são de origem russa e usaram credenciais e cartões roubados para adquirir os anúncios fraudulentos e os serviços relacionados à hospedagem do site fraudulento. Contas no GitHub em nome dos responsáveis também foram descobertas como parte da análise.
Enquanto essa campanha, em si, soa atrapalhada, o Mars Stealer vem ganhando força como uma ameaça popular entre os cibercriminosos, sendo oferecido por valores baixos e ganhando cada vez mais corpo na medida em que outros trojans deixam de serem desenvolvidos ou caem sob a atenção de softwares de segurança. A solução é oferecida pelos criadores por valores a partir de US$ 140 (aproximadamente R$ 670) e já está sendo até pirateada.
Foi justamente uma dessas a utilizada na campanha descoberta pela Morphisec e que levou à revelação dos dados dos criminosos responsáveis pelo ataque aos usuários do Open Office no Canadá. Em outras análises, os especialistas detectaram foco em extensões para navegadores voltadas para criptomoedas, o que pode indicar um dos reais interesses dos criminosos para as infecções.
A recomendação de segurança aos usuários é de atenção quanto aos sites acessados e downloads realizados, principalmente quando anúncios são exibidos no topo das páginas de pesquisa. É importante sempre se certificar de que o software baixado vem de fontes seguras e reconhecidas, como os sites dos próprios desenvolvedores, além de manter sistemas operacionais e aplicações de segurança sempre atualizadas.
FONTE: CANALTECH