2018-10-08
A 17 de setembro, a Check Point Research encontrou um novo online builder apelidado de ‘Gazorp’ hospedado na Dark Web. O Gazorp foi desenvolvido para criar binários do malware conhecido, o Azorult, um malware que rouba de informação e é utilizado para roubar dados das vítimas
O malware descoberto pela Check Point foi desenvolvido para criar binários do malware conhecido, o Azorult, um malware que rouba de informação e é utilizado para roubar do utilizador, passwords, informação do cartão de crédito e dados relacionados às criptomoedas é uma das faces deste builder. Adicionalmente, o serviço do Gazorp é gratuito e oferece aos agentes de ameaças a oportunidade de criar novas réplicas do Azorult e seu correspondente painel de código para servidores, necessitando somente de fornecer o endereço da consola de comando e controlo (C&C). Este endereço é depois embebido no código binário recém-criado, que poderá ser distribuído da forma que o cibercriminoso queira. A análise da Check Point sobre o malware construído pelo Gazorp, mostra que este cria de forma eficaz exemplares da versão 3.0 do Azorult, o qual começou a ser distribuído há cinco meses. Desde então, o malware já teve duas atualizações e as versões 3.1 e 3.2 foram lançadas e observadas. Estas atualizações tornaram a versão construída pelo Gazorp obsoleta, mas mesmo uma versão antiga tem a capacidade de ser utilizada por um agente para recolher as informações da vítima e utilizá-las, bem como contém atualizações e melhorias no painel de código do malware C2. A altura em que foi lançado este builder torna-o muito interessante. Isto porque, o surgimento do Gazorp na Dark Web ocorreu antes da divulgação do código do painel do Azorult para as versões 3.1 e 3.2. Na realidade, esta divulgação permitiu que qualquer pessoa que quisesse alojar um painel Azorult C&C o pudesse efetuar sem muito esforço. A divulgação também continha um builder para a versão mais recente do malware, o qual não parecia ser o original usado pelos seus criadores. Ao invés, apenas codificava e colocava o endereço C&C como um argumento, por parte do utilizador, num campo particular enquanto código binário pronto a usar. É possível que este mecanismo simples e a entrega das versões mais recentes ao público inspirou os autores do Gazrop a colocá-lo online. Outro ponto a referir é que o link do online builder direciona para um canal do Telegram onde a atividade dos seus criadores é bem visível ao público, não escondendo nada. Quem participa pode receber atualizações do projeto e sugerir ideias para a sua melhoria. Os autores também encorajam os utilizadores a doarem dinheiro para o projeto, emitindo uma transação para uma carteira de bitcoin específica, a qual parece ser a única forma de monetizar o Gazorp. Em troca, indicam que os utilizadores poderão beneficiar de mais atualizações. |