- O infostealer DarkCloud de US$ 30 coleta silenciosamente credenciais em navegadores e software corporativo
- O código legado do Visual Basic está inadvertidamente ajudando a escapar de algumas ferramentas modernas de detecção de malware
- Ferramentas baratas de roubo de credenciais estão cada vez mais gerando comprometimentos de redes corporativas no primeiro estágio
Ferramentas de malware de baixo custo estão cada vez mais disponíveis na dark web, fornecendo recursos de roubo de credenciais para pessoas com conhecimento técnico limitado.
Pesquisadores de segurança da Flashpoint analisaram recentemente uma cepa de malware conhecida como DarkCloud que tem circulado pelos canais do Telegram e vitrines públicas desde aproximadamente 2022.
Disponível por cerca de US$ 30, menos que o preço de muitos jogos de console, a ferramenta coleta credenciais em grande escala, informações roubadas podem incluir sessões de navegador, cookies, dados financeiros e informações de contato de aplicativos de e-mail.
O artigo continua abaixo
Ladrões de informação baratos reduzem a barreira ao crime cibernético
DarkCloud se anuncia como software de vigilância em listagens públicas, embora sua funcionalidade interna se concentre na extração de credenciais e dados confidenciais de máquinas infectadas.
Os pesquisadores dizem que esse tipo de infostealer se tornou um ponto de entrada frequente em redes corporativas, onde credenciais comprometidas geralmente levam a uma penetração mais profunda na rede.
Um aspecto incomum do DarkCloud é o uso do ambiente de programação desatualizado Visual Basic 6.0, já que a carga útil do malware é escrita nesta linguagem tradicional antes de ser compilada em um executável nativo.
O Visual Basic 6.0 depende de componentes de tempo de execução mais antigos que funcionam em sistemas Windows modernos e, de acordo com os analistas do Flashpoint, essa escolha de design pode reduzir as taxas de detecção em algumas ferramentas de segurança porque muitos sistemas de detecção dependem de estruturas de desenvolvimento mais modernas.
O malware usa múltiplas camadas de criptografia e ofuscação de strings, dificultando a engenharia reversa e a análise estática.
As strings internas permanecem criptografadas até o tempo de execução, onde um gerador pseudo-aleatório as reconstrói usando processos determinísticos.
Essas técnicas não dependem de nova criptografia, mas exploram comportamentos previsíveis em ambientes de programação.
DarkCloud coleta credenciais e dados de aplicativos de uma ampla variedade de softwares, extraindo informações de navegadores da web, clientes de e-mail, programas de transferência de arquivos e diversas ferramentas de comunicação.
Os dados coletados são armazenados localmente em diretórios criados no caminho dos modelos do Windows.
Um diretório contém os arquivos de banco de dados copiados, enquanto o outro contém as informações analisadas escritas em formato de texto simples.
Este sistema de teste reúne logs estruturados no malware antes de transmiti-los externamente.
A ferramenta oferece suporte a vários métodos de transmissão de informações roubadas.
Isso inclui transmissão de e-mail via SMTP, transferência de arquivos usando servidores FTP, comunicação via canais Telegram e uploads diretos de HTTP.
Como as credenciais comprometidas permitem movimentação lateral nas redes, elas podem posteriormente espalhar ransomware, iniciar operações de phishing ou manter acesso persistente.
Mesmo a proteção básica de endpoint ou um firewall configurado corretamente podem ter dificuldade em detectar atividades se o malware usar protocolos legítimos.
Portanto, as equipes de segurança geralmente dependem de controles em camadas, incluindo rastreamento de credenciais e procedimentos de resposta a incidentes, juntamente com ferramentas de remoção de malware.
A circulação contínua de infostealers baratos sugere que os baixos custos de entrada, em vez da sofisticação técnica, estão a impulsionar cada vez mais o envolvimento na rede na fase inicial.
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
