O Google anunciou na quarta-feira que obteve uma ordem judicial temporária nos EUA para interromper a distribuição do malware CryptBot, que rouba informações de computadores com Windows, e "desacelerar" o seu crescimento.
Segundo Mike Trinh e Pierre-Marc Bureau, da empresa, essa medida faz parte dos esforços que o Google tem tomado para "responsabilizar não apenas os operadores criminosos do malware, mas também aqueles que lucram com sua distribuição".
O CryptBot já infectou mais de 670.000 computadores em 2022, com o objetivo de roubar dados sensíveis, como credenciais de autenticação, logins de contas de mídias sociais e carteiras de criptomoedas de usuários do Google Chrome.
Os dados coletados são vendidos para outros invasores usarem em campanhas de violação de dados.
O CryptBot foi descoberto pela primeira vez em dezembro de 2019.
O malware costuma ser entregue por meio de versões maliciosas de software legítimo e popular, como o Google Earth Pro e o Google Chrome, que são hospedados em sites falsos.
Em dezembro de 2021, uma campanha do CryptBot descoberta pela Red Canary usou o KMSPico, uma ferramenta não oficial usada para ativar ilegalmente o Microsoft Office e o Windows sem uma chave de licença, como vetor de entrega.
Em março de 2022, a BlackBerry divulgou detalhes de uma nova e aprimorada versão do malware, distribuída por meio de sites piratas comprometidos que supostamente oferecem versões "crackeadas" de diversos softwares e jogos de vídeo.
De acordo com o Google, os principais distribuidores do CryptBot são suspeitos de operar uma "empresa criminosa mundial" com sede no Paquistão.
A empresa pretende usar a ordem judicial concedida por um juiz federal no Distrito Sul de Nova York para "derrubar domínios atuais e futuros que estejam vinculados à distribuição do CryptBot", a fim de impedir a propagação de novas infecções.
Para mitigar os riscos dessas ameaças, é aconselhável baixar software apenas de fontes conhecidas e confiáveis, examinar as avaliações e garantir que o sistema operacional e o software do dispositivo estejam sempre atualizados.
A divulgação ocorre semanas depois que a Microsoft, a Fortra e o Health Information Sharing and Analysis Center (Health-ISAC) se uniram legalmente para desmantelar servidores que hospedam cópias ilegais e obsoletas do Cobalt Strike, para evitar o uso da ferramenta por invasores.
Também segue os esforços do Google para desativar a infraestrutura de comando e controle associada a um botnet chamado Glupteba em dezembro de 2021.
No entanto, o malware voltou seis meses depois como parte de uma campanha "ampliada".
Separadamente, a ESET e a Microsoft-owned GitHub anunciaram a interrupção temporária do malware RedLine Stealer, após descobrirem que seus painéis de controle de comando e controle usavam quatro repositórios diferentes do GitHub como resolvedores de dead drop.
"A remoção desses repositórios deve quebrar a autenticação para os painéis em uso atualmente", disse a empresa de segurança cibernética da Eslováquia.
"Embora isso não afete os servidores reais, forçará os operadores do RedLine a distribuir novos painéis para seus clientes".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...