Google obtém ordem judicial para remover CryptBot que infectou mais de 670.000 computadores
28 de Abril de 2023

O Google anunciou na quarta-feira que obteve uma ordem judicial temporária nos EUA para interromper a distribuição do malware CryptBot, que rouba informações de computadores com Windows, e "desacelerar" o seu crescimento.

Segundo Mike Trinh e Pierre-Marc Bureau, da empresa, essa medida faz parte dos esforços que o Google tem tomado para "responsabilizar não apenas os operadores criminosos do malware, mas também aqueles que lucram com sua distribuição".

O CryptBot já infectou mais de 670.000 computadores em 2022, com o objetivo de roubar dados sensíveis, como credenciais de autenticação, logins de contas de mídias sociais e carteiras de criptomoedas de usuários do Google Chrome.

Os dados coletados são vendidos para outros invasores usarem em campanhas de violação de dados.

O CryptBot foi descoberto pela primeira vez em dezembro de 2019.

O malware costuma ser entregue por meio de versões maliciosas de software legítimo e popular, como o Google Earth Pro e o Google Chrome, que são hospedados em sites falsos.

Em dezembro de 2021, uma campanha do CryptBot descoberta pela Red Canary usou o KMSPico, uma ferramenta não oficial usada para ativar ilegalmente o Microsoft Office e o Windows sem uma chave de licença, como vetor de entrega.

Em março de 2022, a BlackBerry divulgou detalhes de uma nova e aprimorada versão do malware, distribuída por meio de sites piratas comprometidos que supostamente oferecem versões "crackeadas" de diversos softwares e jogos de vídeo.

De acordo com o Google, os principais distribuidores do CryptBot são suspeitos de operar uma "empresa criminosa mundial" com sede no Paquistão.

A empresa pretende usar a ordem judicial concedida por um juiz federal no Distrito Sul de Nova York para "derrubar domínios atuais e futuros que estejam vinculados à distribuição do CryptBot", a fim de impedir a propagação de novas infecções.

Para mitigar os riscos dessas ameaças, é aconselhável baixar software apenas de fontes conhecidas e confiáveis, examinar as avaliações e garantir que o sistema operacional e o software do dispositivo estejam sempre atualizados.

A divulgação ocorre semanas depois que a Microsoft, a Fortra e o Health Information Sharing and Analysis Center (Health-ISAC) se uniram legalmente para desmantelar servidores que hospedam cópias ilegais e obsoletas do Cobalt Strike, para evitar o uso da ferramenta por invasores.

Também segue os esforços do Google para desativar a infraestrutura de comando e controle associada a um botnet chamado Glupteba em dezembro de 2021.

No entanto, o malware voltou seis meses depois como parte de uma campanha "ampliada".

Separadamente, a ESET e a Microsoft-owned GitHub anunciaram a interrupção temporária do malware RedLine Stealer, após descobrirem que seus painéis de controle de comando e controle usavam quatro repositórios diferentes do GitHub como resolvedores de dead drop.

"A remoção desses repositórios deve quebrar a autenticação para os painéis em uso atualmente", disse a empresa de segurança cibernética da Eslováquia.

"Embora isso não afete os servidores reais, forçará os operadores do RedLine a distribuir novos painéis para seus clientes".

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...