Malwares como serviço se espalha através de adolescentes

Emma McGowan 11 jul 2022

Malware-como-serviço é uma tendência recente que permite hackear outras pessoas sem conhecimentos técnicos ou de programação.

Às vezes, quando você pesquisa, se depara com algo inesperado. Foi o que aconteceu com a equipe da Avast quando investigava alguns ransomwares. Ela encontrou algo que parecia um ransomware comum, mas algumas coisas estranhas chamaram atenção. A primeira: o valor do resgate era de apenas 25 dólares.

Após uma investigação mais profunda, a equipe descobriu que esse malware estava criptografando arquivos e renomeando-os com a extensão “.LUNAR”. Encontraram também outros malwares dessa família, mas em vez de ransomwares, roubavam dados e mineravam criptomoedas.

A equipe estava confusa: essa família de malwares não seguia os padrões usuais. Por que alguém estava dedicando tempo para criar e divulgar algo que tinha uma possibilidade de lucro tão baixa? Por que tanta variedade?

Eles continuaram cavando e encontraram um servidor Discord dedicado a uma família de malwares chamada “Lunar”, e rapidamente perceberam ser “malware como serviço”. Malware-as-a-service é uma recente tendência que permite hackear outras pessoas sem nenhuma habilidade técnica ou de programação. É basicamente um hacking plug-and-play para quem estiver interessado, exigindo apenas que os usuários determinem alguns detalhes, como escolher um ícone personalizado ou qual o arquivo binário a ser usado como portador do código malicioso.

O criador do malware o vendia num servidor Discord, recebendo sugestões de clientes e até hospedando brindes. Os membros dessa comunidade estavam compartilhando plugins ou, às vezes, apenas conversavam entre si. E como a equipe da Avast passou mais tempo na comunidade, observando o seu comportamento e vocabulário, descobriu algo surpreendente: a maioria dos membros eram menores, entre 11 a 16 anos.

“Presumimos que essa é exatamente porque o autor da ferramenta Lunar, conhecido no Discord como Nex, anuncia preços baixos (5 a 25 euros) para liberar o acesso ao seu criador de malwares”, diz Jan Holman, pesquisador de malware da Avast. “Essa hipótese também se apoia no fato de que muitas das funcionalidades do malware, e definitivamente a maioria dos plugins enviados por outros membros da comunidade, visam mais incomodar as vítimas do que causar danos reais”.

Eles também perceberam que, embora o criador da Lunar incluísse opções como roubo de dados e de senhas, mineração de criptografia e ransomwares, não era esse o anúncio principal. Eles se concentravam em recursos como roubar contas de jogos, excluir pastas do Fortnite, do Minecraft, ou abrir repetidamente um navegador no site Pornhub.

Em outras palavras: pegadinhas nas quais os adolescentes podem se interessar.

Como funcionam os malwares como serviço?

Os criadores do malware Lunar não são exclusivos: existem muitas variedades de “ferramentas de construção” disponíveis online. Geralmente, são distribuídas em campanhas de curta duração e hospedam seu código-fonte no GitHub, renomeiam os arquivos e usam outros logotipos e, às vezes, fazem pequenos ajustes e modificações, incluindo novas funcionalidades.

Embora eles variem um pouco nas funções oferecidas e na tecnologia de obfuscação utilizada, todos são fundamentalmente os mesmos. Eles têm interfaces semelhantes baseadas em .NET com layouts, paletas de cores, nomes e logotipos ligeiramente diferentes. Ainda assim, eles oferecem a mesma função principal: gerar amostras de malwares personalizados ao marcar algumas caixas de seleção e preencher alguns campos de formulário.

A equipe Avast viu muitas ferramentas semelhantes ao Lunar, como a Itr0ublveTSC, Mercurial, Snatch, HideGrabber, PirateStealer, AsteroidLLC, Stely, Viny, Rift, etc. Essas ferramentas de construção de malwares compartilham partes do código e têm um modus operandi semelhante. Todas têm grupos e comunidades online semelhantes.

O Discord confirmou que toma medidas para lidar com essas tipos de comunidades e baniu os servidores associados às descobertas da Avast.

Malwares como comunidades?

Uma vez de posse da ferramenta de construção de malwares, os adolescentes precisam descobrir como implantá-los, uma tarefa na qual a própria comunidade os auxilia. Eles podem disfarçar os malwares como se fossem jogos crackeados, hacks de jogos, usando ícones e nomes de arquivos semelhantes a outros jogos legítimos. Às vezes, eles até os juntam com outros arquivos binários benignos e reais, essencialmente infiltrando o código malicioso no dispositivo da vítima.

Eles também atraem as vítimas através de vídeos “isca” no YouTube, incentivando as pessoas a baixar a mídia desejada. Depois que o invasor configura o vídeo, ele o publica no servidor Discord e todos os outros membros da comunidade comentam sobre ele, fornecendo a validação social para as possíveis futuras vítimas. Eles chegam ao ponto de “avisar” as vítimas de que o antivírus delas pode bloquear o vídeo e dão instruções sobre como deixar o arquivo passar, solicitando a criação de uma exceção*.

“Nós realmente sugerimos evitar baixar software crackeado e hacks de jogos e, concretamente, contra ignorar os avisos dos antivírus, criando exceções para esses programas”, diz Jan Holman, pesquisador de malware da Avast. “Se o seu programa antivírus sinalizou um keygen* ou um jogo crackeado como malware, é provável que ele realmente contenha malware. Não é uma tarefa do antivírus se preocupar com a legalidade do seu software”.

Mas, embora pareça haver apoio da comunidade, também há muitos conflitos. A equipe da Avast observou brigas internas, instabilidade, bullying, membros roubando o código uns dos outros e vendendo-os aos demais. Essas comunidades tendem a explodir e morrer rapidamente, à medida que os criadores ficam entediados ou a negatividade do grupo se torna grande demais.

Quando se trata de ameaças reais, o impacto desses grupos é relativamente baixo. A equipe da Avast não planejava gastar muito tempo com isso, mas optou por compartilhar as suas descobertas especificamente porque as pessoas envolvidas – tanto perpetradores quanto vítimas – são majoritariamente menores de idade.

Isso fica muito claro nas conversas, que incluem brincadeiras coerentes com a idade deles, comentários como “não quero usar o paypal da minha mãe” e conversas sobre como invadir o dispositivo de um professor durante uma aula. O Discord compartilhou com a Avast que ajudam os pais a adaptar as configurações dos filhos para impedir que recebam mensagens de estranhos. Mais dicas de segurança para os pais podem ser encontradas no blog do Discord*.

Capturas de tela do Discord relacionadas à ferramenta Lunar.

“Essas comunidades podem parecer atraentes para as crianças, já que o hacking é visto como algo legítmo e os criadores de malware oferecem uma oportunidade barata e fácil de 'hackear' alguém e se gabar disso para os colegas”, diz Holman. “Eles também podem oferecer uma chance de aprender um pouco de programação; a comunidade é útil nessa área. No entanto, esses atos ainda são ilegais e merecem ser divulgados”.

A equipe do nosso Laboratório de Ameaças também aponta que a segurança operacional nesses grupos era deficiente, com contas de redes sociais facilmente acessíveis ou informações pessoais compartilhadas diretamente no chat. E, finalmente, embora as ações tomadas pelos perpetradores possam ser vistas como brincadeiras infantis, eles também podem colocar suas vítimas – e os pais de suas vítimas, se compartilham os seus dispositivos – em perigo real, potencialmente expondo seus dados confidenciais a cibercriminosos profissionais.

Após a descoberta e análise do servidor pelo Laboratório de Ameaças da Avast, os pesquisadores notificaram o Discord, que mais tarde desativou o servidor.


A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.

* Original em inglês.

--> -->