Um novo malware de roubo de credenciais chamado Zaraza bot está sendo oferecido à venda no Telegram, enquanto também usa o popular serviço de mensagens como um comando e controle (C2).
"O Zaraza bot visa um grande número de navegadores da web e está sendo distribuído ativamente em um canal de hackers russo do Telegram popular entre os atores de ameaças", disse a empresa de segurança cibernética Uptycs em um relatório publicado na semana passada.
"Depois que o malware infecta o computador da vítima, ele recupera dados sensíveis e os envia para um servidor do Telegram onde os atacantes podem acessá-los imediatamente."
Um arquivo binário de 64 bits compilado usando C#, o Zaraza bot é projetado para atingir até 38 navegadores da web diferentes, incluindo Google Chrome, Microsoft Edge, Opera, AVG Browser, Brave, Vivaldi e Yandex.
Ele também é equipado para capturar capturas de tela da janela ativa.
É o mais recente exemplo de malware capaz de capturar credenciais de login associadas a contas bancárias online, carteiras de criptomoedas, contas de e-mail e outros sites considerados de valor para os operadores.
Credenciais roubadas representam um risco sério, pois não apenas permitem que atores de ameaças acessem contas de vítimas sem autorização, mas também realizem roubo de identidade e fraude financeira.
Evidências coletadas pela Uptycs sugerem que o Zaraza bot está sendo oferecido como uma ferramenta comercial para outros cibercriminosos por meio de uma assinatura.
Atualmente, não está claro como o malware é propagado, mas os ladrões de informações geralmente usaram vários métodos, como malvertising e engenharia social no passado.
As descobertas surgem enquanto a Unidade de Resposta a Ameaças (TRU) da eSentire divulgou uma campanha GuLoader (também conhecida como CloudEyE) direcionada ao setor financeiro por meio de e-mails de phishing, empregando iscas temáticas de impostos para entregar ladrões de informações e cavalos de Troia de acesso remoto (RATs) como o Remcos RAT.
O desenvolvimento também segue um aumento nas técnicas de malvertising e envenenamento de mecanismos de busca para distribuir um número crescente de famílias de malware, atraindo usuários que procuram aplicativos legítimos para baixar instaladores falsos contendo payloads de roubo de informações.
A empresa de segurança cibernética russa Kaspersky, em uma nova análise, revelou o uso de software rachado trojanizado baixado do BitTorrent ou OneDrive para implantar o CueMiner, um downloader baseado em .NET que age como um canal para instalar um minerador de criptomoedas conhecido como SilentCryptoMiner.
Para mitigar os riscos provenientes de malware ladrão, é recomendável que os usuários ativem a autenticação de dois fatores (2FA) e apliquem atualizações de software e sistemas operacionais conforme disponíveis.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...