O RapperBot foi observado pela primeira vez em junho de 2022, quando foi utilizado para visar o protocolo Secure Shell (SSH), considerado um sistema seguro de transferência de ficheiros através de encriptação, em comparação com os serviços Telnet, que transferem dados sob a forma de um texto simples. Contudo, a versão mais recente do RapperBot removeu a funcionalidade SSH e, agora, concentra-se exclusivamente no Telnet e com bastante sucesso. No último trimestre de 2022, as tentativas de infeção pelo RapperBot atingiram os 112.000 utilizadores, a partir de mais de 2.000 endereços IP únicos.
O que distingue o RapperBot de outros worms é a forma como executa os ataques de força bruta, fazendo-o de uma forma “inteligente”: verifica a prompt, e baseado nesse prompt, escolhe as credenciais mais apropriadas. Este é um formato que acelera o ataque, pois não tem de rever grandes listas de credenciais. Em dezembro de 2022, os países com o maior número de dispositivos infetados pelo RapperBot eram Taiwan, a Coreia do Sul e os Estados Unidos da América.
Outra nova família de malware descrita pela Kaspersky no seu blog é o CUEMiner, baseado num malware de código aberto que apareceu pela primeira vez no Github, em 2021. A última versão foi descoberta em outubro de 2022 e inclui um programa que monitoriza um sistema enquanto um processo pesado, como um videojogo, é lançado no computador de uma vítima.
Durante a investigação ao CUEMiner, a Kaspersky observou dois métodos de propagação do malware. O primeiro é através do download de software pirateado com trojans embutidos através do BitTorrent. O outro método é através de software pirateado com trojans embutidos a partir de redes de partilha do OneDrive. Ainda não é claro como as vítimas são atraídas para o download destes pacotes de software pirateado. No entanto, hoje em dia, são muitos os sites de download de software pirateado que não permitem a sua transferência imediata, desviando a o contacto para a plataforma Discord. Isto sugere a existência de uma forma de interação humana e de engenharia social.
Este tipo malware de código aberto é muito popular quer entre os cibercriminosos qualificados, como entre os novatos, uma vez que torna as campanhas massivas relativamente fáceis de executar. O CUEMiner tem feito vítimas em todo o mundo, incluindo empresas. A maioria delas, de acordo com as métricas geridas pela Kaspersky Security Network (KSN), estão localizadas no Brasil, Índia e Turquia.
Por fim, a Kaspersky providencia novas informações sobre o Rhadamanthys, um malware de roubo de informação que utiliza o Google Advertising como meio de distribuição e entrega. O Rhadamanthys já tinha sido mencionado no site Securelist em março de 2023, mas, desde então, foi descoberta uma ligação ao malware Hidden Bee, dedicado à mineração de criptomoedas. Ambos utilizam imagens para esconderem a payload e têm shellcodes semelhantes para se ativarem. Além disso, ambos utilizam sistemas de ficheiros virtuais in-memory e a linguagem de programação Lua para carregar módulos e plugins.
"O malware de código aberto, reutilização de código e rebranding são amplamente utilizados pelos cibercriminosos. Significa que mesmo os atacantes menos qualificados podem realizar campanhas em larga escala e visar vítimas em todo o mundo. Além disso, a malvertising está a tornar-se uma tendência, uma vez que já é muito procurado entre os grupos de malware. Para evitar estes ataques e proteger a sua empresa, é importante estar ciente do que se passa na área da segurança e utilizar as ferramentas de proteção mais recentes", alerta Jornt van der Wiel, investigador sénior de segurança, GReAT na Kaspersky.
- Não exponha os serviços de escritório remotos (como o RDP) a redes públicas a menos que seja absolutamente necessário e utilize sempre password fortes.
- Instale rapidamente os patches disponíveis para soluções VPN empresariais, que dão acesso aos colaboradores remotos e atuam como gateways na sua rede.
- Concentre a sua estratégia de defesa na deteção de movimentos laterais e na exfiltração de dados. Preste especial atenção ao tráfego de saída para detetar ligações maliciosas.
- Faça regularmente cópias de segurança dos dados. Certifique-se de que pode aceder rapidamente aos dados em caso de emergência, quando necessário.
- Utilize soluções como o Kaspersky Endpoint Detection and Response Expert e o serviço Kaspersky Managed Detection and Response, que ajudam a identificar e a parar o ataque nas fases iniciais, antes de os cibercriminosos atingirem os seus objetivos.
- Esteja a par das informações mais recentes de Threat Intelligence para conhecer as Táticas, Técnicas e Procedimentos (TTP) utilizados pelos cibercriminosos. O Kaspersky Threat Intelligence Portal é um ponto de acesso único para os profissionais de TI da Kaspersky, fornecendo dados de ciberataque e insights recolhidos pela nossa equipa durante 25 anos. Para ajudar a empresas a terem sistemas de defesa eficazes, a Kaspersky permite, agora, aceder sem custos a informação independente, continuamente atualizada e de origem global sobre ciberataques e ameaças em curso. Solicite aqui o acesso a esta oferta.
Saiba mais sobre os novos métodos e técnicas de infeção utilizados pelos cibercriminosos no site Securelist.