Os malwares do tipo stealer são uma ameaça crescente para a segurança cibernética. Eles são projetados para roubar informações pessoais e financeiras, como senhas, números de cartão de crédito e dados bancários, de forma silenciosa e discreta. Os stealers são tipicamente distribuídos através de meios como phishing, anexos de e-mail maliciosos e downloads de sites maliciosos.
Uma vez instalado em um dispositivo, o malware pode rastrear e capturar informações sensíveis, que são então enviadas para os cibercriminosos responsáveis pela sua criação. Com a crescente utilização de dispositivos móveis e a popularidade do comércio eletrônico, os stealers tornaram-se uma ameaça cada vez mais grave e é importante que os usuários estejam cientes dos riscos e saibam como se proteger contra esta ameaça.
Quais informações os stealers roubam?
Os malwares do tipo stealer são projetados para roubar uma variedade de informações pessoais e financeiras, incluindo:
- Senhas: os stealers podem rastrear e capturar senhas armazenadas em dispositivos infectados, incluindo senhas de contas de e-mail, redes sociais e contas bancárias on-line.
- Números de cartão de crédito: os stealers podem procurar e capturar números de cartão de crédito armazenados em dispositivos infectados, incluindo informações de cartões de crédito salvos em navegadores ou aplicativos de comércio eletrônico.
- Dados bancários: os stealers podem rastrear e capturar informações bancárias, incluindo saldos de conta e transações recentes.
- Informações pessoais: os stealers também podem rastrear e capturar informações pessoais, como nomes, endereços, números de telefone e informações de identificação pessoal.
- Informações de navegação: os stealers também podem rastrear e capturar informações sobre as atividades de navegação do usuário, incluindo histórico de navegação, cookies e dados de formulário.
Onde as informações roubadas vão parar?
O mercado de credenciais na deep e dark web, bem como em Telegram, WhatsApp, Discord, Signal, entre outros, são espaços virtuais onde os cibercriminosos vendem informações roubadas, como nomes de usuários e senhas, informações de cartão de crédito e dados bancários. Esses dados geralmente são obtidos através de ataques de phishing ou de malwares deto tipo stealer. Uma vez que essas informações são obtidas, elas são vendidas no mercado de credenciais para outros cibercriminosos que podem usá-las para realizar atividades ilícitas, como fazer compras fraudulentas, acessar contas bancárias, ou acessar serviços remotos como RDP e VPN.
O mercado de credenciais é difícil de ser detectado e monitorado devido a sua natureza anônima e descentralizada. É importante notar que essas informações podem ser usadas para acessar contas pessoais e financeiras, e esses ataques podem ter consequências graves para as vítimas. Por isso, é importante seguir as boas práticas de segurança, como usar senhas fortes, evitar clicar em links e anexos desconhecidos e manter seus softwares de segurança atualizados para se proteger contra essas ameaças.
As informações mutias vezes são classificadas e vendidas em pacote orientados por geolocalização ou então pela vítima, quando por exemplo, a vítima é uma organização conhecida, consequentemente o preço pelo lote é maior em relação a uma vítima comum. Normalmente cada pacote de dados de stealer é vendido por aproximadamente 10 dólares.
Malware como um serviço (Malware as a Service — MaaS)
Assim como popularmente ocorre com ransomwares, os stealers são popularmente comercializado no formato MaaS.
“Malware as a Service” (Maas) é um modelo de negócios onde os cibercriminosos oferecem acesso ao seu malware ou a sua capacidade de criar malware para outras pessoas, geralmente por um preço. Isso permite que indivíduos ou organizações com pouco conhecimento técnico ou recursos possam cometer crimes cibernéticos sem precisar desenvolver o malware por conta própria.
Os principais tipos de Maas são:
- Malware builder: é um software que permite criar malware sem muito conhecimento técnico.
- Malware-as-a-Service: é uma oferta onde os criminosos cibernéticos vendem o acesso aos seus malware para outras pessoas.
- Ransomware-as-a-Service: é um modelo de negócios onde os criminosos cibernéticos vendem o acesso ao seu ransomware para outras pessoas, geralmente com uma estrutura de participação nos lucros.
Esse tipo de serviço é muito perigoso porque permite que pessoas sem muito conhecimento técnico possam cometer crimes cibernéticos e causar grandes danos a outras pessoas e empresas. Além disso, esses serviços estão se tornando cada vez mais acessíveis e populares, tornando mais fácil para os criminosos cibernéticos obter acesso a eles.
Como os stealers são distribuídos?
Os malwares do tipo stealer são distribuídos através de vários meios, incluindo:
- Phishing: os cibercriminosos podem enviar e-mails de phishing que parecem legítimos, mas que contêm links maliciosos ou anexos que, quando abertos, instalam o malware no dispositivo do usuário.
- Anexos de e-mail maliciosos: os cibercriminosos podem enviar anexos maliciosos em e-mails que, quando abertos, instalam o malware no dispositivo do usuário.
- Downloads de sites maliciosos: os cibercriminosos podem criar sites maliciosos que oferecem downloads falsos ou atualizações de software que, quando instalados, instalam o malware no dispositivo do usuário.
- Exploits de software vulneráveis: os cibercriminosos podem explorar vulnerabilidades de software conhecidas para instalar o malware no dispositivo do usuário.
- Atualizações de software falsas: os cibercriminosos também podem usar atualizações de software falsas para instalar malware no dispositivo do usuário
- Instalação através de outros malwares: os cibercriminosos também podem usar outros tipos de malware, como RATs (Remote Access Trojans) ou keyloggers, para instalar o stealer malware no dispositivo do usuário.
Como os stealers funcionam?
Os malwares do tipo stealer funcionam de diferentes maneiras, mas geralmente seguem um fluxo de trabalho semelhante:
- Instalação: O malware é instalado no dispositivo do usuário através de um dos meios mencionados anteriormente, como phishing, anexos de e-mail maliciosos ou downloads de sites maliciosos.
- Coleta de informações: Uma vez instalado, o malware começa a rastrear e capturar informações sensíveis, como senhas, números de cartão de crédito e dados bancários. Ele pode fazer isso através da captura de dados digitados pelo usuário, ou acessando arquivos de configuração do sistema.
- Transmissão de informações: As informações coletadas são então transmitidas aos cibercriminosos responsáveis pela criação do malware, geralmente através da criação de uma conexão remota com um servidor controlado pelos cibercriminosos.
- Esconder-se: O malware pode se esconder e evitar ser detectado pelos softwares de segurança, a fim de continuar a coletar informações e evitar ser removido do dispositivo.
- Utilização das informações: Os cibercriminosos podem usar as informações roubadas para realizar atividades ilícitas, como fazer compras fraudulentas, acessar contas bancárias, ou até mesmo vender as informações para outros cibercriminosos.
É importante notar que alguns malwares stealer são mais sofisticados do que outros e podem ter capacidades adicionais como a capacidade de se espalhar para outros dispositivos, ou capacidade de evitar a detecção pelos softwares de segurança.
Alguns exemplos de stealers famosos
Existem muitos exemplos de malwares do tipo stealer famosos que têm sido detectados e analisados ao longo dos anos. Alguns dos mais notórios incluem:
- ZeuS: Um dos primeiros stealers de informações bancárias, ZeuS foi detectado pela primeira vez em 2007 e foi responsável por roubar milhões de dólares de contas bancárias. Ele se espalhava através de phishing e anexos de e-mail maliciosos e se disfarçava como software legítimo.
- SpyEye: Um derivado de ZeuS, SpyEye foi detectado pela primeira vez em 2009 e foi responsável por roubar milhões de dólares de contas bancárias.
- Dridex: Um stealer de informações bancárias detectado pela primeira vez em 2014, Dridex se espalhava através de phishing e anexos de e-mail maliciosos e foi responsável por roubar milhões de dólares de contas bancárias.
- Emotet: Um stealer de informações bancárias detectado pela primeira vez em 2014, Emotet se espalha através de phishing e anexos de e-mail maliciosos e tem sido responsável por roubar milhões de dólares de contas bancárias.
- Trickbot: um stealer de informações bancárias detectado pela primeira vez em 2016, Trickbot se espalha através de phishing e anexos de e-mail maliciosos, e foi responsável por roubar milhões de dólares de contas bancárias. Ele também tem a capacidade de se espalhar para outros dispositivos e foi considerado uma ameaça séria.
Principais stealers em atividade
Existem muitos malwares do tipo stealer ativos em todo o mundo, e novos são descobertos com frequência. Alguns dos principais malwares stealers atualmente em atividade incluem:
- AZORult: um stealer de informações que se espalha através de phishing e anexos de e-mail maliciosos e tem a capacidade de roubar informações como senhas, cookies e arquivos do sistema.
- FormBook: um stealer de informações que se espalha através de phishing e anexos de e-mail maliciosos e tem a capacidade de roubar informações como senhas, números de cartão de crédito e dados bancários.
- LokiBot: um stealer de informações que se espalha através de phishing e anexos de e-mail maliciosos e tem a capacidade de roubar informações como senhas, números de cartão de crédito e dados bancários.
- RedLine: um stealer de informações que se espalha através de phishing, engenharia social e software vulneráveis e tem a capacidade de se esconder e evitar ser detectado pelos softwares de segurança.
- Snatch: um stealer de informações que se espalha através de phishing e anexos de e-mail maliciosos e tem a capacidade de roubar informações como senhas, números de cartão de crédito e dados bancários.
- GandCrab: um stealer de informações que se espalha através de phishing e anexos de e-mail maliciosos e tem a capacidade de roubar informações como senhas, números de cartão de crédito e dados bancários.
É importante notar que essa lista pode não ser exaustiva e novos malwares stealers são descobertos com frequência. É recomendado ficar atento as notícias de segurança e manter seus softwares de segurança atualizados para se proteger contra essas ameaças.
Como se proteger contra os stealers?
Existem várias medidas que os usuários podem tomar para se protegerem contra os stealers:
- Manter o software de segurança atualizado: Um software de segurança atualizado pode ajudar a detectar e remover malwares do tipo stealer.
- Manter o sistema operacional e programas atualizados é importante para corrigir vulnerabilidades conhecidas que podem ser exploradas por malwares.
- Evitar clicar em links e anexos desconhecidos: Não clique em links ou anexos de e-mails ou mensagens de texto desconhecidos, pois eles podem ser utilizados para instalar o malware no dispositivo.
- Não utilize softwares piratas ou programas destinados a pirataria, pois além de anti-éticos, eles costumam conter programas maliciosos embutidos.
- Utilizar boas práticas de segurança, como manter senhas fortes, evitar conexões de redes desconhecidas e não compartilhar informações pessoais, pode ajudar a proteger contra ameaças de malware.
Os riscos de stealers para empresas
Os stealers podem causar sérios danos às empresas, pois as informações roubadas podem ser usadas para acessar contas financeiras, realizar compras fraudulentas ou mesmo extorquir a empresa.
As empresas também podem sofrer danos financeiros diretos, como multas e perda de clientes, devido a violações de dados. Além disso, as empresas podem sofrer danos à sua reputação se a violação de dados vier a público.
As empresas também devem considerar a contratação de um serviço de segurança cibernética para monitorar e proteger-se em superfície externa de ataque.
As credenciais roubadas podem ser utilizadas em ataques posteriores como o de Ransomware e acesso indevido a sistemas criticos, isso geralmente ocorre quando um stealer infecta um dispositivo corporativo que possui credenciais salvas.
O autor do artigo recomenda o uso de um serviço de inteligência de ameaça para ajudar a proteger sua empresa contra ameaças cibernéticas.
Um serviço de inteligência de ameaça pode fornecer informações sobre as últimas ameaças e vulnerabilidades conhecidas, bem como recomendações de mitigação. Alguns serviços também oferecem monitoramento contínuo e alertas em tempo real para ajudar a detectar e responder rapidamente a incidentes de segurança.
A Axur, por exemplo, realiza o monitoramento contínuo de mercados de credenciais e notifica os seus clientes sobre credenciais corporativas e pessoais que possam ter sido vazadas ou postas para comercialização.
Conclusão
É crucial que os usuários estejam cientes dos riscos dos stealers, pois eles podem roubar informações valiosas e confidenciais, como senhas, números de cartão de crédito e dados bancários. Essas informações podem ser usadas para realizar atividades ilícitas, como fazer compras fraudulentas, acessar contas bancárias, ou até mesmo vender as informações para outros cibercriminosos. Além disso, os stealers podem se esconder e evitar serem detectados pelos softwares de segurança, o que os torna ainda mais perigosos. Por isso, é importante estar sempre atento às notícias de segurança, manter o software de segurança atualizado e seguir as boas práticas de segurança para se proteger contra essas ameaças.
Graduado em Sistemas da Informação pela UNISEP e pós-graduado com MBA em Cyber Security pela FIAP, Alisson Moretto é Tech Leader de ART (Cyber Threat Intelligence) na Axur. Alisson desenvolveu sua carreira com foco na investigação de crimes digitais, atuando como especialista em Malwares, buscas e apoio estratégico em casos de investigação, além de ser professor convidado em cursos de pós-graduação e referência técnica em eventos com foco em desenvolvimento e segurança da informação.