Investigação da Check Point expõe cibercriminoso por detrás de software malicioso que afeta as regiões EMEA e Ásia-Pacífico

Investigação da Check Point expõe cibercriminoso por detrás de software malicioso que afeta as regiões EMEA e Ásia-Pacífico

- Anunciados como ferramentas legítimas, o Remcos e o GuLoader são malware disfarçado, muito utilizados em ciberataques.

- A Check Point Research (CPR) descobriu provas de que o distribuidor está profundamente ligado ao cenário do cibercrime, tirando partido da sua plataforma para o facilitar, enquanto obtém lucros.

- A CPR identificou "EMINэM" como um dos cibercriminosos por detrás da distribuição dos malwares Remcos e GuLoader.

- A CPR comunicou as suas conclusões às entidades de segurança e judiciais competentes.

Os softwares "legítimos” estão a tornar-se a escolha preferida dos cibercriminosos. Numa tendência alarmante destacada no Relatório de Segurança Semestral 2023 da Check Point Software, fornecedor líder em soluções de cibersegurança para empresas e governos a nível mundial, os softwares aparentemente legítimos tornaram-se a escolha preferida dos cibercriminosos. Exemplos notáveis são o Remcos Remote Access Trojan (RAT) e o GuLoader, ambos anunciados como ferramentas legítimas, mas fortemente utilizados em ciberataques, estão consistentemente entre os malwares mais dominantes. Embora os seus vendedores aleguem uma utilização legal, a CPR encontrou uma forte ligação entre estas ferramentas e a cibercriminalidade.

Enquanto o Remcos se esforça para evitar a deteção de antivírus, o GuLoader atua como seu aliado, ajudando-o a contornar as medidas de proteção. A CPR descobriu que o GuLoader é rebatizado e vendido como um crypter, garantindo que o payload do Remcos permanece totalmente indetetável pelos antivírus. Surpreendentemente, o mesmo administrador gere a plataforma, vendendo ambas as ferramentas enquanto opera o website oficial e os canais do Telegram para o Remcos. A CPR encontrou provas irrefutáveis de que este indivíduo não só emprega malware como o Amadey e o Formbook, mas também utiliza o GuLoader para se proteger contra a deteção de antivírus. Os nomes de domínio e endereços IP associados ao vendedor do Remcos e do GuLoader aparecem em relatórios de analistas de malware.

Guloader e Remcos estão entre os líderes da “matilha"

No relatório de julho dos malwares predominantes, a CPR informou que o RAT Remcos subiu quatro posições, a nível global, devido a instaladores trojanizados. O Remcos está agora em terceiro lugar, também a nível global, depois de os agentes de ameaças terem criado sites falsos no mês passado para espalhar downloaders maliciosos com o RAT.

Detectado pela primeira vez em 2016, o Remcos é um RAT que é regularmente distribuído através de documentos da Microsoft aparentemente autênticos ou de downloaders que são realmente maliciosos. Foi visto mais recentemente numa campanha que envolveu o downloader de malware Fruity. O objetivo era levar as vítimas a descarregar o downloader Fruity, que instalava diferentes RATs como o Remcos (conhecido pela sua capacidade de obter acesso remoto ao sistema da vítima) para roubar informações e credenciais privadas e realizar atividades maliciosas no computador do utilizador.

GuLoader e Remcos em 2023 - Os setores financeiro e da educação são os principais alvos

De acordo com dados do ThreatCloud AI da Check Point

· GuLoader: No setor Financeiro/Bancário, uma média de 2,4% das organizações a nível mundial foram afetadas mensalmente (o equivalente a 1 em cada 41 organizações)

· GuLoader: impacto mais substancial na região EMEA, com um impacto médio mensal de 4,7% (o equivalente a 1 em cada 21 organizações)

· Remcos: No setor da Educação/Investigação, uma média de 2,8% das organizações a nível mundial foram afetadas mensalmente (o equivalente a 1 em cada 35 organizações)

· Remcos: maior impacto na região da Ásia-Pacífico, com uma média mensal de 2% (1 em cada 50 organizações)

O distribuidor fraudulento faz efetivamente parte da operação ilegal

A investigação da CPR leva a uma conclusão clara: o(s) vendedor(es) do Remcos e do GuLoader estão bem cientes de que o seu software está a ser adotado por cibercriminosos, apesar das suas afirmações falsas. A CPR pretende expor o criminoso responsável pela venda destas ferramentas, revelando as suas redes sociais e descobrindo o significativo rendimento ilícito gerado por estas atividades. Este estudo sublinha a grave ameaça que representa o software de dupla utilização e destaca a necessidade de uma maior vigilância contra estas práticas enganosas no panorama da cibersegurança.

Em 2020, a CPR expôs uma empresa italiana que estava a vender o produto CloudEyE através do site securitycode.eu e revelou a sua afiliação direta com o GuLoader. As nossas descobertas obrigaram os criadores do CloudEyE a suspender temporariamente as suas operações. No seu website, publicaram uma mensagem a dizer que o seu serviço foi concebido para proteger a propriedade intelectual e não para espalhar malware.

Após alguns meses, o website retomou a venda do CloudEyE. Pouco tempo depois, a CPR observou um aumento no número de novos ataques GuLoader, bem como o aparecimento de novas versões. Atualmente, monitorizamos diariamente dezenas de novas amostras de GuLoader.

Em conteúdo anterior da Check Point Software sobre as versões mais recentes do GuLoader, foi propositadamente omitida qualquer ligação entre o CloudEyE e a nova versão do GuLoader porque observámos a distribuição do GuLoader sob um nome alternativo "The Protetor" no site chamado "VgoStore". A VgoStore, ao que parece, está intimamente relacionada com a Remcos.

O Remcos é uma conhecida ferramenta de vigilância remota, comercializada para fins legítimos de rastreio e monitorização. Desde o seu aparecimento em 2016, temos vindo a monitorizar o Remcos em muitas campanhas de phishing. Para além das suas características típicas de ferramenta de administração remota, o Remcos inclui funcionalidades pouco comuns, tais como capacidades man-in-the-middle (MITM), roubo de palavras-passe, rastreio do histórico do navegador, roubo de cookies, keylogging e controlo da webcam. Estas características vão para além do âmbito típico de um RAT e sugerem uma intenção mais intrusiva e maliciosa.

Resultados da Investigação

A investigação da CPR revelou uma ligação clara entre um indivíduo conhecido como EMINэM e dois websites, BreakingSecurity e VgoStore. Estes vendem abertamente Remcos e GuLoader, rebatizados como TheProtect. Além disso, reunimos provas do envolvimento de EMINэM na distribuição de malware nocivo, incluindo o ladrão de informações FormBook e o Amadey Loader. Além disso, o EMINэM explora o TheProtect para evitar a deteção de antivírus para as suas próprias atividades maliciosas.

A aparente legitimidade do BreakingSecurity, da VgoStore e dos seus produtos é apenas uma fachada. O EMINэM e os que estão por detrás destas plataformas estão profundamente enraizados na comunidade cibercriminosa, utilizando os seus websites para facilitar ações ilegais e lucrar com a venda de ferramentas maliciosas.

Esta descoberta realça a necessidade permanente de vigilância e cooperação na luta contra a cibercriminalidade. As entidades judiciais, os profissionais de cibersegurança e a comunidade em geral devem colaborar para expor e neutralizar essas ameaças. Ao lançar luz sobre indivíduos como EMINэM e as suas plataformas associadas, esforçamo-nos por criar um ambiente digital mais seguro, que proteja melhor os indivíduos, as organizações e o ecossistema digital em geral.

A CPR comunicou as suas conclusões às entidades judiciais, para investigação.

Os clientes do Check Point Threat Emulation estão protegidos contra os ataques do Guloader e do Remcos, pois este software fornece uma cobertura abrangente de táticas de ataque, tipos de ficheiros e sistemas operativos. Protege contra o tipo de ataques e ameaças descritos neste relatório.

Para ler a investigação completa, aceda ao website: https://research.checkpoint.com