2018-10-08

SECURITY

Check Point descobre malware alojado na Dark Web

A 17 de setembro, a Check Point Research encontrou um novo online builder apelidado de ‘Gazorp’ hospedado na Dark Web. O Gazorp foi desenvolvido para criar binários do malware conhecido, o Azorult, um malware que rouba de informação e é utilizado para roubar dados das vítimas

Check Point descobre malware alojado na Dark Web

O malware descoberto pela Check Point foi desenvolvido para criar binários do malware conhecido, o Azorult, um malware que rouba de informação e é utilizado para roubar do utilizador, passwords, informação do cartão de crédito e dados relacionados às criptomoedas é uma das faces deste builder. Adicionalmente, o serviço do Gazorp é gratuito e oferece aos agentes de ameaças a oportunidade de criar novas réplicas do Azorult e seu correspondente painel de código para servidores, necessitando somente de fornecer o endereço da consola de comando e controlo (C&C). Este endereço é depois embebido no código binário recém-criado, que poderá ser distribuído da forma que o cibercriminoso queira.

A análise da Check Point sobre o malware construído pelo Gazorp, mostra que este cria de forma eficaz exemplares da versão 3.0 do Azorult, o qual começou a ser distribuído há cinco meses. Desde então, o malware já teve duas atualizações e as versões 3.1 e 3.2 foram lançadas e observadas. Estas atualizações tornaram a versão construída pelo Gazorp obsoleta, mas mesmo uma versão antiga tem a capacidade de ser utilizada por um agente para recolher as informações da vítima e utilizá-las, bem como contém atualizações e melhorias no painel de código do malware C2.

A altura em que foi lançado este builder torna-o muito interessante. Isto porque, o surgimento do Gazorp na Dark Web ocorreu antes da divulgação do código do painel do Azorult para as versões 3.1 e 3.2. Na realidade, esta divulgação permitiu que qualquer pessoa que quisesse alojar um painel Azorult C&C o pudesse efetuar sem muito esforço. A divulgação também continha um builder para a versão mais recente do malware, o qual não parecia ser o original usado pelos seus criadores. Ao invés, apenas codificava e colocava o endereço C&C como um argumento, por parte do utilizador, num campo particular enquanto código binário pronto a usar. É possível que este mecanismo simples e a entrega das versões mais recentes ao público inspirou os autores do Gazrop a colocá-lo online.

Outro ponto a referir é que o link do online builder direciona para um canal do Telegram onde a atividade dos seus criadores é bem visível ao público, não escondendo nada. Quem participa pode receber atualizações do projeto e sugerir ideias para a sua melhoria. Os autores também encorajam os utilizadores a doarem dinheiro para o projeto, emitindo uma transação para uma carteira de bitcoin específica, a qual parece ser a única forma de monetizar o Gazorp. Em troca, indicam que os utilizadores poderão beneficiar de mais atualizações.

ARTIGOS RELACIONADOS

Check Point encontra vulnerabilidade no sistema de armazenamento externo do Android
SECURITY

Check Point encontra vulnerabilidade no sistema de armazenamento externo do Android

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.