Para lançar alguma luz sobre a ameaça eterna de “malware empacotado”, Pesquisadores da Sophos recentemente realizaram uma investigação completa em uma rede de sites relacionados a uma campanha em andamento do infostealer da Racoon, atuando como um “conta-gotas como serviço”. Esta rede distribuiu uma variedade de pacotes de malware, “Muitas vezes agrupando malware não relacionado em um único conta-gotas,”Incluindo bots de fraude de cliques, outros infostealers, e ransomware.
A eterna ameaça de pacotes de software rachados
Enquanto a campanha do Ladrão de Guaxinins, a Sophos rastreada nesses sites aconteceu entre janeiro e abril, 2021, os pesquisadores ainda observam malware e outros conteúdos maliciosos distribuídos pela mesma rede de sites. “Vários websites de front-end direcionados a indivíduos que buscam versões" crackeadas "de pacotes de software corporativos e de consumo populares vinculam-se a uma rede de domínios usado para redirecionar a vítima para a carga útil projetada para sua plataforma,” o relatório observou.
De fato, muitas redes aplicam as mesmas táticas básicas, como usar SEO (Motor de Otimização de Busca) para colocar uma página de isca no primeiro passado de resultados relacionados a consultas de pesquisa específicas. Essas consultas geralmente incluem as versões de crack de vários produtos de software. Deve-se notar que durante a análise da campanha do infostealer Racoon, A Sophos encontrou vários ladrões de informações, bots de fraude de cliques, assim como o Conti e PARAR o ransomware.
Descobertas anteriores da Sophos relacionado à maneira como o guaxinim se propaga in the wild revelou um canal do YouTube com vídeo sobre mercadorias, ou software pirata. Os pesquisadores também encontraram amostras em telemetria enraizadas em dois domínios específicos: gsmcracktools.blogspot.com e procrackerz.org.
Os sites maliciosos são normalmente anunciados como repositórios de pacotes de software legítimos crackeados. Contudo, os arquivos entregues na campanha foram, na verdade, disfarçados de conta-gotas. Se a vítima em potencial clicar em um link para baixar esse arquivo, eles passam por um conjunto de JavaScripts redirecionadores hospedados na Amazon Web Services. Então, a vítima é enviada para um dos vários locais de download que oferecem várias versões do conta-gotas.
Uma análise de páginas de iscas maliciosas e redes de troca de tráfego
Os ataques analisados utilizam inúmeras páginas de iscas hospedadas principalmente no WordPress. Essas páginas contêm links de download para pacotes de software que criam uma série de redirecionamentos ao clicar.
“Os botões de download nessas páginas vinculam a outro host, passar um conjunto de parâmetros que inclui o nome do pacote e códigos identificadores de afiliado para um aplicativo que então redireciona a sessão do navegador para outro site intermediário, antes de finalmente chegar a um destino,”Sophos disse.
Algumas páginas de isca redirecionam para sites de download que hospedam um arquivo compactado que contém malware, enquanto outros são atados com plug-ins de navegador e aplicativos potencialmente indesejados (satisfeito).
Em muitos casos, os visitantes da página são solicitados a permitir notificações via push. Se estes são permitidos, as páginas começarão a disparar alertas falsos de malware. Se os alertas forem clicados, então o usuário é levado por uma série de redirecionamentos e sites até chegar a um destino determinado pelo sistema operacional do visitante, tipo de navegador, e localização geográfica.
O que os pesquisadores descobriram em termos de malware?
Essas campanhas de download propagam uma variedade de PUAs e malware, incluindo instaladores para PARAR ransomware, a porta dos fundos de Glupteba, e numerosos mineradores de criptomoedas e infostealers. Muitos desses downloads falsos pretendiam ser instaladores de programas antivírus, alguns dos quais afirmavam ser versões do HitmanPro sem licença, propriedade da Sophos.
Pacotes de conta-gotas e plataformas de entrega de malware já existem há muito tempo, mas eles continuam a prosperar devido ao mesmo tipo de dinâmica de mercado que torna os ladrões como serviço tão lucrativos, o relatório concluiu. Graças a estes, até mesmo agentes de ameaças inexperientes podem propagar malware.