"Script Kiddies" são hackeados—o que isso significa para a economia do cibercrime

A descoberta de um Trojan disfarçado como software para ajudar hackers de baixo nível a construir malware XWorm RAT indica a maturidade e complexidade da próspera economia do cibercrime—e lembra-nos que não há honra entre ladrões.

Imagine que és um jovem aspirante a hacker ambicioso. Não és um programador especialista. Em vez disso, encontraste o teu caminho para o mercado da dark web para ferramentas e serviços de cibercrime. Lá, és como uma criança numa loja de doces. Por preços muito razoáveis, podes comprar ou alugar software passo-a-passo que facilita a construção e implementação de um ciberataque. Uma pequena taxa adicional adiciona suporte técnico 24 horas.

Ransomware-as-a-Service (RaaS) e Phishing-as-a-Service (PhaaS) tornam ainda mais fácil—e a sua utilização está a aumentar de forma constante. Em agosto de 2023, Interpol desmantelou uma operação de PhaaS que tinha 70.000 clientes ativos.

Questões de confiança

O problema para o nosso jovem hacker hipotético—um do tipo conhecido como “script kiddies”—é que todos com quem lidam nesse mercado são basicamente criminosos. O que levanta questões potenciais sobre quem pode ser confiável.

Bem, no mês passado, 18.000 script kiddies descobriram o que acontece quando a confiança é mal colocada. Pensavam que estavam a descarregar um construtor de XWorm RAT gratuito — software para automatizar a produção de uma ameaça cibernética.

Em vez disso, o que instalaram nos seus sistemas foi malware que criou uma porta dos fundos para permitir que os agentes de ameaça controlassem os seus computadores Windows.

Como funcionou

Assim que um sistema era infectado, era registado num servidor de comando e controlo baseado no Telegram.

O malware rouba e exfiltra automaticamente tokens do Discord, informações do sistema e dados de localização.

Depois de se conectarem ao servidor, os agentes de ameaça podem emitir comandos, incluindo roubar senhas guardadas e dados do navegador, registar toques no teclado, capturar o ecrã, encriptar ficheiros, terminar software de segurança e exfiltrar ficheiros específicos.

Os investigadores de ameaças que descobriram a infeção conseguiram identificar e transmitir um comando de desinstalação para o malware, que o removeu de muitas, mas não de todas, as máquinas infetadas.

O que significa

"Não há honra entre ladrões" pode ser a primeira resposta que vem à mente de muitos de nós. Mas eu acho que a verdade é um pouco mais complicada.

Qualquer mercado de sucesso, para comprar e vender qualquer coisa, requer um certo nível de confiança. Deve haver confiança de que os contratos serão cumpridos. E por essa medida, a economia do cibercrime é um mercado muito fiável, onde a grande maioria das transações são realizadas sem fraude.

Mas é precisamente este sucesso como um mercado fiável que é a condição para o surgimento de fraudes e comportamentos maliciosos. Os compradores pouco sofisticados em qualquer mercado—como os nossos script kiddies no mercado de malware—são demasiado confiantes, tornando-os alvos fáceis para os fraudadores que operam nas margens do mercado, beneficiando da confiança e reputação geral que o mercado alcançou.

"Que o comprador esteja atento" é uma atitude sábia em qualquer mercado. Mas o que a história dos script-kiddies criadores de malware falso nos diz é que a economia subterrânea do cibercrime é um mercado plenamente maduro, onde a maioria dos cibercriminosos pode fazer negócios com confiança.