Infostealers: Uma ameaça crescente

Tópicos:

3 set. 2024

Um sinal da crescente maturidade da economia do cibercrime é o uso em rápido crescimento de infostealers, uma categoria de malware que, como o nome sugere, é projetada para recolher e exfiltrar informações do seu sistema.

Malware-as-a-Service

O malware infostealer é normalmente bastante sofisticado e complexo. Mas, tal como acontece com muitos tipos de ransomware, praticamente qualquer pessoa pode obtê-lo e utilizá-lo. Tudo o que é necessário é uma subscrição de um fornecedor de Malware-as-a-Service (MaaS), que pode custar apenas $200 por mês ou $1,000 para uma subscrição vitalícia.

Esses provedores de serviços anunciam cada vez mais na Dark Web, oferecendo não apenas o malware, mas também suporte técnico e ferramentas adicionais, como servidores de comando e controle dedicados que o assinante pode usar para exfiltrar os dados adquiridos pelo malware infostealer.

E estão a tornar-se muito, muito populares.

Revolver Rabbit eleva o nível

Em mais um sinal da vasta escala em que os infostealers estão a ser implementados – e da sua crescente sofisticação – Bleeping Computer informou em julho que o grupo de cibercrime conhecido como Revolver Rabbit registou 500.000 nomes de domínio para serem usados em campanhas de infostealer.

E estão a usar algoritmos de geração de domínios registados (RDGAs) para conseguir isto.

Mas o que isso significa exatamente? Bem, o malware tradicional era criado com um ou mais nomes de domínio codificados para serem usados para comando e controlo (C2) e para exfiltração de dados roubados. O problema com essa estratégia era que os investigadores de segurança rapidamente descobriam quais eram esses nomes de domínio e, em seguida, adicionavam-nos a listas de bloqueio, impedindo efetivamente o malware de comunicar com a sua base e, assim, tornando-o inútil.

Os actores de ameaça responderam substituindo os nomes de domínio codificados no malware por algoritmos de geração de domínios (DGAs). Estes algoritmos podem gerar um grande número de nomes de domínio de forma semi-aleatória, a grande maioria dos quais não são domínios registados. Assim, o malware pode agora contornar as listas de bloqueio gerando novos nomes de domínio alternativos para substituir os bloqueados.

Mas, como esses domínios estavam principalmente não registados, o malware enviaria muitas consultas DNS que retornariam uma mensagem de erro "domínio inexistente" (NXDOMAIN). Isto, por sua vez, daria aos profissionais de segurança um indicador significativo de comprometimento, nomeadamente o grande número de erros NXDOMAIN retornados.

Além disso, ao estudar os nomes de domínio não registados que causam erros NXDOMAIN, os investigadores de segurança também poderiam fazer a engenharia inversa do DGA que está a ser utilizado e bloquear proativamente todos os potenciais nomes de domínio. E poderiam localizar os poucos nomes de domínio registados e bloqueá-los também.

As RDGAs levam o conceito um passo além, gerando apenas nomes de domínio registados. Isto resolve o problema de demasiados erros NXDOMAIN e permite que os agentes de ameaças registem rapidamente muitos nomes de domínio, que podem manter ao longo do tempo até os utilizarem como parte de uma campanha de malware. 

Uma questão de números

Há apenas um ano, se um agente de ameaça de DNS fosse encontrado a ter registado dezenas de milhares de nomes de domínio, isso era considerado um grande compromisso de recursos para apoiar campanhas de malware. Assim, a revelação de que Revolver Rabbit está a manter registos de meio milhão de nomes de domínio—o que custa dinheiro real—indica o quão rapidamente a indústria de MaaS está a crescer.

Proteja-se

Os infostealers não podem causar-lhe dano a menos que (até) entrem no seu sistema. Por isso, é importante fazer tudo o possível para impedir que malware penetre no seu sistema.

Em primeiro lugar, certifique-se de que os seus utilizadores estão bem treinados para identificar e-mails, anúncios, sites suspeitos e muito mais. Os infostealers são frequentemente entregues por e-mails de phishing e por sites que anunciam cupões, filmes gratuitos, sorteios, entre outros. Outra tática comum são os anúncios enganosos que fazem pensar que está a descarregar um software útil, como um editor de vídeo gratuito. Um produto moderno de formação de sensibilização sobre segurança, como o Barracuda Security Awareness Training, é muito útil para reduzir esta vulnerabilidade.

Como Christine Barry salientou num revelador post do ano passado, outra fonte comum de infeção é o vasto exército de bots que está atualmente a sondar a sua rede para encontrar aplicações e dispositivos mal configurados, não corrigidos ou não geridos que possam ser explorados para obter uma vantagem. Por isso, é também muito importante do ponto de vista de segurança garantir que todos os seus dispositivos e software estão atualizados e corretamente configurados.

Sistemas de proteção avançada de aplicações web e API (WAAP) como Barracuda Application Protection podem automatizar e acelerar este processo significativamente, assim como detetar e bloquear bots maliciosos que procuram sondar a sua rede em busca de vulnerabilidades.

Solicite uma avaliação gratuita da Proteção de Aplicações Barracuda

Tony Burgess

Tony Burgess é um veterano de vinte anos na indústria de segurança de TI e é o Senior Copywriter de Conteúdo e Marketing ao Cliente da Barracuda. Nesta função, ele pesquisa temas técnicos complexos e traduz as descobertas em prosa clara, útil e legível para humanos.

Pode conectar-se com o Tony no LinkedIn aqui.

Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR