Mergulhamos nas redes de dispositivos zumbis (botnets) e descobrimos as maldades do malware Noite Silenciosa (Silent Night ou Zloader 2), um dos sucessores do maligno Zeus.
O Noite Silenciosa é um malware bancário que fornece acesso não-autorizado a sistemas financeiros, bancários e sistemas de pagamento online. Ele é composto de vários módulos e funções que baixam e executam código malicioso nos navegadores para roubar dados.
Entre 2006 e 2008, o código-fonte do malware Zeus vazou na internet e surgiram muitas variantes. A família Zloader surgiu* no final de 2016 e as primeiras redes zumbis com o Silent Night apareceram* nos mercados negros da darkweb em 2019.
Inicialmente distribuído por e-mails, durante a pandemia, os cibercriminosos conseguiram invadir o Google AdWords para mostrar links do app de comunicação Zoom infectado com o Zloader. Outras campanhas usaram sites de conteúdo adulto e solicitavam que os usuários baixassem um app para assistir a vídeos.
Mapa com dispositivos infectados com o Noite Silenciosa
Depois de ser baixado e ativado, o Noite Silenciosa entra em contato com vários servidores remotos (C&C), inicia o módulo Downloader que baixa, instala e executa o próximo módulo, o Backdoor.
Este, por sua vez, é muito mais complexo e é o responsável pelo processo de acesso remoto, injeção de código malicioso nos navegadores, captura da tela (screenshot) e das senhas digitadas (keylogging). Ele também rouba dados de login (cookies) dos navegadores Chrome, Firefox e Edge, informações das contas de e-mail do Microsoft Outlook e arquivos de carteiras de moedas digitais (Exodus, Zcash e Bitcoin-Qt).
Algumas das assinaturas digitais são as mesmas de outra família de malwares – a Ursnif*, também conhecida como Gozi ou ISFB – e eles compartilham alguns dos mesmos servidores. Alguns dos nomes das redes zumbis utilizam palavras eslavas, o que dá indícios sobre a origem dos cibercriminosos por trás desses ataques.
Os alvos são funcionários e empresas financeiras como bancos, corretoras, seguradoras, serviços de pagamento, serviços relacionados a criptomoedas (Electrum e Ethereum).
Uma análise técnica desse ataque foi feita por Vladimir Martyanov* no nosso blog Decoded.io*. Recomendamos que você mantenha o seu antivírus Avast sempre ligado para bloquear automaticamente e em tempo real esses ataques.
A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo. Saiba mais sobre os produtos que protegem sua vida digital em nosso site e receba todas as últimas notícias sobre como vencer as ameaças virtuais através do nosso Blog, no Facebook ou no Twitter.
* Original em inglês.
Photo by Vincent Chin on Unsplash
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap Política de Privacidade