BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

Pesquisa avançada de ameaças: Dissecando o malware coletor-ladrão de origem russa


O Collector-stealer, um malware de origem russa, é muito usado na Internet para exfiltrar dados confidenciais de sistemas de usuários finais e armazená-los em seus painéis C&C. Para ajudar o setor a se proteger contra essa ameaça, Aditya K Sood e Rohit Chaturvedi, do Advanced Threat Research Center of Excellence, do Escritório do CTO da F5, apresentam uma análise 360 do malware Collector-stealer para descobrir artefatos ocultos que abrangem a análise binária, seu funcionamento e o design dos painéis C&C associados.

O colecionador-ladrão se tornou bastante difundido em um tempo relativamente curto. Informações roubadas resultantes de malware geralmente são disponibilizadas em mercados clandestinos para fins nefastos. Os invasores têm como alvo principalmente países europeus usando o Collector-stealer, mas ele também afeta usuários de outros países, como EUA, China e Camboja.

Aqui estão alguns dos destaques e características interessantes do Colecionador-Ladrão descobertos por meio desta análise:

  • O coletor-ladrão usa várias maneiras de iniciar a infecção, incluindo:
    • Atrair usuários para visitar portais de phishing que hospedam downloads de jogos gratuitos
    • Pacotes de software de ativação/crack do Windows
    • Portal web de minerador falso (portal web que imita conteúdo semelhante do portal do provedor de software de criptomoeda para desencadear ataques de downloads drive-by)
  • O Collector Stealer é escrito em C++ e infecta a máquina do usuário com o objetivo de roubar dados cruciais, como senhas armazenadas, dados da web, cookies, capturas de tela e muito mais. Os autores de malware usaram técnicas de ofuscação em seus códigos para frustrar os pesquisadores e tornar o código mais complicado.
     
  • O coletor-ladrão, antes de enviar dados ao servidor C&C, verifica a conectividade de internet na máquina da vítima fazendo ping no endereço IP 1.1.1.1 do resolvedor de DNS da Cloudflare. Se a solicitação de ping falhar, ele exclui o executável junto com os dados coletados da máquina vítima e então sai silenciosamente. Caso contrário, ele envia os dados coletados para o servidor C&C.
     
  • O Collector-stealer usa o protocolo HTTP e o método POST para enviar dados coletados. Antes de enviar os dados, o malware os compacta em um arquivo .zip, que é então enviado ao servidor C&C.

O Collector-stealer ganhou popularidade em fóruns clandestinos devido aos amplos recursos de malware. Vimos muitos usuários demonstrarem interesse em comprar esse malware e alguns grupos até tentaram fornecer uma versão crackeada. O grupo russo "Hack_Jopi" vende o Collector-stealer em fóruns desde outubro de 2018.

A pesquisa completa detalhando a análise desse malware foi divulgada no Virus Bulletin. Obtenha o artigo de pesquisa expandindo as descobertas acima e outras visitando:
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/ 

Aproveitar!