CrackedCantil é uma amostra exclusiva de malware dropper que opera com uma ampla variedade de famílias de malware. Infectar com um pode significar efetivamente até cinco outros tipos de malware em execução no sistema. Vamos detalhar o que é, como isso se espalha, e por que é tão perigoso.
O que é CrackedCantil?
CrackedCantil é um malware conta-gotas descoberto e descrito pelo analista de malware LambdaMamba. O nome deste malware deriva de duas partes. “Rachado” para falhas de software, é o principal vetor de propagação, e “Cantil” para a víbora Cantil, uma espécie de víbora altamente venenosa, sugerindo o potencial prejudicial do malware. Por sua natureza, CrackedCantil é um carregador/conta-gotas malware que visa entregar muitas amostras de malware diferentes, incluindo ladrões, ransomware, spyware e backdoors.
Visão geral das formas de distribuição
A principal forma de espalhar esse tipo de malware é através do uso de software crackeado. Pessoas que procuram versões gratuitas de software pago geralmente recorrem ao download “rachado” versões. Estas versões são frequentemente software legítimo modificado para contornar mecanismos de licenciamento. No entanto, os invasores usam essa demanda por software crackeado como meio de espalhar malware.
O processo começa em sites ou fóruns questionáveis. Depois de baixar e executar o que parece ser um instalador, malware é instalado no computador do usuário. Isso pode estar disfarçado como arquivos úteis ou integrado aos executáveis de instalação. Uma vez ativado, o malware começa a infectar o sistema, um processo que pode incluir diversas ações. Então ele pode instalar malware adicional, roubar dados, criptografar arquivos para resgate, e vire o dispositivo infectado em parte de uma botnet.
CrackedCantil fornece conta-gotas, Spyware e Ransomware
A árvore de processos envolvidos no incidente é bastante complicada, e descobriu-se que várias famílias de malware infames estavam envolvidas. Vejamos essas famílias no quadro geral da ameaça, focando no papel de cada um na sinfonia de ataques cibernéticos.
Carregador Privado
PrivateLoader funciona como um downloader polimórfico que usa várias técnicas de ofuscação e empacotamento para evitar a detecção por programas antivírus. Está escrito em C++ e é frequentemente distribuído com software crackeado. Também é capaz de baixar e executar módulos maliciosos adicionais de servidores de controle remoto.. Também, O PrivateLoader geralmente inclui recursos para verificar o ambiente de execução para evitar execução em máquinas virtuais ou ambientes de análise, tornando difícil para os pesquisadores de segurança investigar e analisar.
Carregador de Fumaça
Carregador de Fumaça, também conhecido como Dofoil, é um “carregador” tipo de malware usado para espalhar malware adicional, como backdoors, keyloggers, e trojans. Também é capaz de roubar informações. SmokeLoader pode injetar código malicioso em processos do sistema, evitando assim a detecção.
Luma
Lumma é um infostealer que recebeu bastante atenção nos últimos meses. Ele pode extrair dados pessoais e financeiros de uma variedade de fontes em computadores infectados, incluindo navegadores da web, clientes de e-mail, e arquivos de carteira de criptomoeda. Mais comumente, Ladrão Lumma se propaga através da engenharia social e ataques de phishing. Ele também pode evitar a detecção de antivírus e transmitir os dados coletados para um comando e controle remoto (C&C) servidor.
Linha Vermelha
RedLine Stealer é um programa malicioso projetado para roubar vários tipos de informações confidenciais de computadores infectados. É capaz de extraindo credenciais do navegador, dados do cartão de crédito, senhas de carteira eletrônica, e informações do sistema. Apareceu de volta 2020, rapidamente se tornou um dos ladrões mais populares no mercado de malware.
Meias5Systemz
Socks5Systemz is a malware que infecta dispositivos através do PrivateLoader e Amadey. Dispositivos infectados são transformados em proxies de encaminhamento de tráfego malicioso, e o malware se conecta ao seu servidor C2 com um DGA.
PARAR/Djvu Ransomware
STOP Ransomware é um criptografador caracterizado pela adição de extensões exclusivas aos arquivos criptografados e pela criação de arquivos de texto de resgate que contêm instruções para a vítima sobre como efetuar o pagamento e obter o descriptografador. Também, ele criptografa arquivos e adiciona suas extensões às suas extremidades – .hhaz, .cdaz, cdcc, e similar. DJVU também é uma variante do ransomware STOP que pode incluir vários níveis de furtividade, dificultando a análise. STOP/DJVU criptografa arquivos usando AES-256 e Salsa20. É conhecido por colaborar com outros malwares, como malware infostealer, roubar informações confidenciais antes da criptografia.
Quão perigoso é o CrackedCantil?
CrackedCantil é outro player no mercado de malware dropper, mas sua capacidade única de coordenar diferentes tipos de malware o diferencia da multidão. Faz um chamado “sinfonia de malware” onde cada elemento é cuidadosamente ajustado para máximo impacto. O popularidade crescente do CrackedCantil aponta para sua eficácia, tanto na evasão de detecção quanto na entrega de malware. Enorme distribuição através dos usuários’ desejo de acessar software pago gratuitamente.
Para evitar infecção através de programas crackeados, as seguintes precauções são recomendadas:
- Sempre compre software de fornecedores oficiais ou diretamente dos desenvolvedores. Isso não apenas garante a legitimidade do seu software, mas também garante que você receba todas as atualizações de segurança necessárias.
- Atualize regularmente todos os programas instalados e o sistema operacional. Isso ajuda a proteger seu sistema contra vulnerabilidades que podem ser exploradas por malware.
- Use uma solução antivírus confiável e verifique seu sistema regularmente. Os programas antivírus modernos atualizam frequentemente seus bancos de dados para reconhecer novas ameaças.
- Aumente você e seus funcionários’ conhecimento de ameaças cibernéticas e técnicas de engenharia social. Saber como as ameaças se espalham pode reduzir significativamente o risco de exposição.
