As autoridades de aplicação da lei anunciaram que rastrearam os clientes do malware SmokeLoader e detiveram pelo menos cinco indivíduos.
"Em uma série coordenada de ações, os clientes do botnet Smokeloader pay-per-install, operado pelo ator conhecido como 'Superstar', enfrentaram consequências como prisões, buscas domiciliares, mandados de prisão ou 'conversas diretas'", disse a Europol em um comunicado.
Alega-se que Superstar tenha administrado um serviço de pay-per-install que permitiu a seus clientes obter acesso não autorizado a máquinas vítimas, usando o loader como um conduto para implantar payloads de próxima fase de sua escolha.
Segundo a agência de aplicação da lei europeia, o acesso proporcionado pelo botnet foi usado para vários propósitos, como keylogging, acesso à webcam, implantação de ransomware e mineração de criptomoedas.
A ação mais recente, parte de um exercício coordenado em andamento chamado Operation Endgame, levou ao desmantelamento da infraestrutura online associada a várias operações de malware loader como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot no último ano.
Canadá, República Tcheca, Dinamarca, França, Alemanha, Países Baixos e Estados Unidos participaram do esforço de acompanhamento que visa focar no "lado da demanda" do ecossistema de cibercriminalidade.
As autoridades, segundo a Europol, rastrearam os clientes que estavam registrados em um banco de dados previamente apreendido, ligando suas personas online a indivíduos na vida real e convocando-os para interrogatório.
Acredita-se que um número não especificado de suspeitos tenha optado por cooperar e permitir que seus dispositivos pessoais fossem examinados para coletar evidências digitais.
"Vários suspeitos revenderam os serviços adquiridos do SmokeLoader com lucro, adicionando uma camada adicional de interesse à investigação", disse a Europol.
Alguns dos suspeitos assumiram que não estavam mais no radar das autoridades de aplicação da lei, apenas para chegar à dura realidade de que ainda estavam sendo visados.
O desenvolvimento ocorre enquanto a Symantec, de propriedade da Broadcom, revelou detalhes de uma campanha de phishing que emprega o formato de arquivo de protetor de tela do Windows (SCR) para distribuir um malware loader baseado em Delphi chamado ModiLoader (também conhecido como DBatLoader e NatsoLoader) nas máquinas das vítimas.
Isso também coincide com uma campanha web evasiva que engana os usuários para executarem arquivos de instalação do Windows (MSI) maliciosos para implantar outro malware loader referido como Legion Loader.
"Esta campanha usa um método chamado 'pastejacking' ou 'clipboard hijacking' porque os espectadores são instruídos a colar conteúdo em uma janela de Executar", disse a Unit 42 da Palo Alto Networks, acrescentando que utiliza várias estratégias de ocultação para evitar a detecção por meio de páginas de CAPTCHA e disfarçando páginas de download de malware como sites de blogs.
Campanhas de phishing também têm sido um veículo de entrega para o Koi Loader, que é então usado para baixar e executar um ladrão de informações chamado Koi Stealer como parte de uma sequência de infecção multi-estágio.
"A utilização de capacidades Anti-VM por malwares como Koi Loader e Koi Stealer destaca a capacidade das ameaças modernas de evitar análise e detecção por analistas, pesquisadores e sandboxes", disse a eSentire em um relatório publicado no mês passado.
E isso não é tudo.
Nos últimos meses, testemunhou-se mais uma vez o retorno do GootLoader (também conhecido como SLOWPOUR), que está sendo espalhado por meio de resultados de pesquisa patrocinados no Google, uma técnica observada pela primeira vez no início de novembro de 2024.
O ataque visa usuários que pesquisam por "modelo de acordo de não divulgação" no Google para servir anúncios falsos que, quando clicados, são redirecionados para um site ("lawliner[.]com") onde lhes é pedido que insiram seus endereços de e-mail para receber o documento.
"Pouco depois de inserirem seu e-mail, receberão um e-mail de lawyer@skhm[.]org, com um link para o documento do Word (DOCX) solicitado", de acordo com um pesquisador de segurança que atende pelo nome de GootLoader e tem monitorado o malware loader por vários anos.
Se o usuário passar por todos os seus portões, ele baixará um arquivo JavaScript compactado.
Quando o usuário descompacta e executa o arquivo JavaScript, o mesmo comportamento do GootLoader ocorre. Também foi observado um JavaScript downloader conhecido como FakeUpdates (também conhecido como SocGholish) que é tipicamente propagado por meio de artimanhas de engenharia social que enganam os usuários a instalar o malware, disfarçando-se como uma atualização legítima para navegadores da web como o Google Chrome.
"Os atacantes distribuem malware usando recursos comprometidos, injetando JavaScript malicioso em sites vulneráveis para obter impressões digitais dos hosts, realizar verificações de elegibilidade e exibir páginas falsas de atualização", disse o Google.
O malware é comumente entregue via drive-by downloads.
O JavaScript malicioso atua como um downloader, entregando malware adicional. O caminho do ataque da atualização falsa do navegador também foi observado distribuindo duas outras famílias de malware JavaScript chamadas FAKESMUGGLES, que é assim chamada pelo uso de HTML smuggling para entregar payloads de próxima fase como o NetSupport Manager, e FAKETREFF, que se comunica com um servidor remoto para recuperar payloads adicionais como o DarkGate e enviar informações básicas do host.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...