Deixe InnfiRAT entrar e suas senhas e dados da carteira de criptografia podem ser roubados
Você pode pensar que roubar o dinheiro das pessoas pela Internet não é tão difícil. Você acabou de comprometer alguns detalhes do cartão de crédito ou credenciais bancárias on-line e está pronto para começar. O problema é que é um pouco mais complicado que isso.
Como existem tantos cibercriminosos por aí, bancos e instituições financeiras tomaram as precauções necessárias para garantir que seus clientes estejam melhor protegidos. Os atuais mecanismos antifraude significam que, embora não seja impossível, roubar dinheiro online é muito mais difícil do que costumava ser, e as chances de ser pego são muito mais significativas. É por isso que muitos bandidos estão mais interessados em criptomoedas. Rastrear transações com moedas digitais é muito mais complicado e roubá-las não é nem de longe tão difícil. Veja como os operadores do novo malware InnfiRAT o fazem.
InnfiRAT - um recém-chegado a um mercado superlotado
O InnfiRAT é um novo Trojan de acesso remoto (ou RAT, como o nome sugere) que foi recentemente descoberto e analisado por pesquisadores do Zscaler. O malware foi escrito em .NET e possui uma afinidade especial por carteiras de criptomoedas, mas, como descobriremos em um minuto, seus recursos vão muito além disso.
Infelizmente, o Zscaler não forneceu muitas informações sobre como o malware está sendo usado. Aparentemente, eles viram isso na natureza, mas não disseram nada sobre o tamanho da campanha e para quem ela é direcionada. O relatório também não contém detalhes sobre como as vítimas são infectadas, mas, se precisarmos adivinhar, provavelmente diremos que o InnfiRAT segue o exemplo de outras linhagens de malware desse tipo e se distribui com a ajuda de emails de spam. Felizmente, os pesquisadores incluíram muitas informações sobre o que o InnfiRAT faz quando se encontra no computador da vítima.
As técnicas furtivas e de detecção e evasão são abundantes
Como seria de esperar, o InnfiRAT vem com alguns recursos projetados para confundir pesquisadores de segurança e produtos anti-malware. Quando é executado pela primeira vez, ele se copia como NvidiaDriver.exe na pasta% AppData%. Em seguida, ele grava um arquivo executável portátil codificado em Base64 na memória e começa com algumas verificações para garantir que não esteja sendo executado sob os olhos atentos dos engenheiros reversos.
O malware verifica e verifica novamente dados diferentes sobre o dispositivo que está tentando infectar, para garantir que não foi colocado em uma máquina virtual. Coisas como o nome do computador, o número de núcleos e o número de processadores lógicos são analisados e, se o InnfiRAT encontrar determinadas palavras-chave, ele imediatamente será encerrado. Por precaução, ele também foi projetado para percorrer a lista de processos e procurar o Gerenciador de Tarefas do Windows, além de algumas outras ferramentas que os profissionais de segurança usam regularmente. Se determinar que foi lançado por uma pessoa comum em um PC comum, o InnfiRAT continuará com sua operação.
Ele envia o IP público da vítima, juntamente com outras informações, de volta ao servidor de Comando e Controle (C&C). Por motivos que não são completamente claros, ele mata todos os processos do navegador em execução e estabelece a persistência com a ajuda de uma tarefa agendada.
Um RAT com vários talentos
Após a infecção estar completa, o InnfiRAT aguarda instruções da C&C. Como em qualquer malware desse tipo, a funcionalidade é tão variada quanto os comandos enviados pela C&C.
Quando se trata de roubo de informações, o foco está nas carteiras de criptomoedas e nos cookies do navegador. O InnfiRAT foi projetado para procurar as pastas "Bitcoin" e "Litecoin" dentro do% AppData%. Se os encontrar, copia os dados do arquivo wallet.dat e os envia de volta para a C&C. O malware também rouba cookies de navegação dos navegadores mais populares, que podem ser usados posteriormente para comprometer contas inteiras online.
Além de cookies e contas de criptomoeda, o InnfiRAT também pode roubar arquivos de texto menores que 2 MB, o que pode expor informações ainda mais confidenciais. Por falar nisso, o malware tem a capacidade de eliminar processos que podem desabilitar os produtos de segurança que podem tentar impedi-lo. E uma vez feito isso, ele pode executar comandos na máquina infectada e baixar cargas úteis adicionais, o que significa que as oportunidades para um ataque são mais ou menos ilimitadas.
O InnfiRAT ainda é uma nova família de malware, o que significa que ele tem muito espaço para evoluir. Os pesquisadores do Zscaler prometeram manter um olhar atento e, dado o quão perigoso é, é seguro dizer que os usuários devem ter um pouco mais de cuidado também.