{"id":21521,"date":"2025-01-09T18:50:53","date_gmt":"2025-01-09T21:50:53","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21521"},"modified":"2025-01-13T18:52:09","modified_gmt":"2025-01-13T21:52:09","slug":"as-5-principais-ameacas-de-malware","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/01\/exploits\/as-5-principais-ameacas-de-malware\/","title":{"rendered":"As 5 principais amea\u00e7as de malware"},"content":{"rendered":"\n

As 5 principais amea\u00e7as de malware para se preparar em 2025<\/p>\n

O ano de 2024 teve sua cota justa de ataques cibern\u00e9ticos de alto perfil, com empresas t\u00e3o grandes quanto Dell e TicketMaster sendo v\u00edtimas de viola\u00e7\u00f5es de dados e outros comprometimentos de infraestrutura. Em 2025, essa tend\u00eancia continuar\u00e1.<\/p>\n

Ent\u00e3o, para estar preparado para qualquer tipo de ataque de malware, toda organiza\u00e7\u00e3o precisa conhecer seu inimigo cibern\u00e9tico com anteced\u00eancia. Aqui est\u00e3o 5 fam\u00edlias comuns de malware que voc\u00ea pode come\u00e7ar a se preparar para combater agora mesmo.<\/p>\n

\u00a0<\/h6>\n

Luma<\/strong><\/p>\n

Lumma \u00e9 um malware amplamente dispon\u00edvel, projetado para roubar informa\u00e7\u00f5es confidenciais. Ele tem sido vendido abertamente na Dark Web desde 2022. Este malware pode efetivamente coletar e exfiltrar dados de aplicativos direcionados, incluindo credenciais de login, informa\u00e7\u00f5es financeiras e detalhes pessoais.<\/p>\n

O Lumma \u00e9 atualizado regularmente para aprimorar suas capacidades. Ele pode registrar informa\u00e7\u00f5es detalhadas de sistemas comprometidos, como hist\u00f3rico de navega\u00e7\u00e3o e dados de carteira de criptomoedas. Ele pode ser usado para instalar outros softwares maliciosos em dispositivos infectados. Em 2024, o Lumma foi distribu\u00eddo por v\u00e1rios m\u00e9todos, incluindo p\u00e1ginas CAPTCHA falsas, torrents e e-mails de phishing direcionados.<\/p>\n

\u00a0<\/p>\n

An\u00e1lise de um ataque Lumma<\/strong><\/p>\n

A an\u00e1lise proativa de arquivos e URLs suspeitos em um ambiente sandbox pode ajudar efetivamente a prevenir a infec\u00e7\u00e3o pelo Lumma.<\/p>\n

Vamos ver como voc\u00ea pode fazer isso usando\u00a0o sandbox baseado em nuvem do ANY.RUN<\/a>\u00a0. Ele n\u00e3o s\u00f3 fornece vereditos definitivos sobre malware e phishing junto com indicadores acion\u00e1veis, mas tamb\u00e9m permite intera\u00e7\u00e3o em tempo real com a amea\u00e7a e o sistema.<\/p>\n

D\u00ea uma olhada\u00a0nesta an\u00e1lise<\/a>\u00a0de um ataque Lumma.<\/p>\n

<\/p>\n

ANY.RUN permite que voc\u00ea abra arquivos manualmente e inicie execut\u00e1veis<\/strong><\/p>\n

\u00a0<\/h6>\n

Ele come\u00e7a com um arquivo que cont\u00e9m um execut\u00e1vel. Assim que iniciamos o arquivo .exe, o sandbox registra automaticamente todos os processos e atividades de rede, mostrando as a\u00e7\u00f5es da Lumma.<\/p>\n

<\/h6>\n

Suricata IDS nos informa sobre uma conex\u00e3o maliciosa ao servidor C2 da Lumma<\/strong><\/p>\n

\u00a0<\/p>\n

Ele se conecta ao seu servidor de comando e controle (C2).<\/p>\n

<\/h6>\n

Processo malicioso respons\u00e1vel por roubar dados do sistema<\/strong><\/p>\n

\u00a0<\/h6>\n

Em seguida, ele come\u00e7a a coletar e extrair dados da m\u00e1quina.<\/p>\n

<\/h6>\n

Voc\u00ea pode usar os IOCs extra\u00eddos pelo sandbox para aprimorar seus sistemas de detec\u00e7\u00e3o<\/strong><\/p>\n

\u00a0<\/p>\n

Ap\u00f3s concluir a an\u00e1lise, podemos exportar um relat\u00f3rio sobre esta amostra, apresentando todos os indicadores importantes de comprometimento (IOCs) e TTPs que podem ser usados \u200b\u200bpara enriquecer as defesas contra poss\u00edveis ataques Lumma em sua organiza\u00e7\u00e3o.<\/p>\n

\u00a0<\/p>\n

X-Worm-Verme<\/strong><\/p>\n

XWorm \u00e9 um programa malicioso que d\u00e1 aos cibercriminosos controle remoto sobre computadores infectados. Aparecendo pela primeira vez em julho de 2022, ele pode coletar uma ampla gama de informa\u00e7\u00f5es confidenciais, incluindo detalhes financeiros, hist\u00f3rico de navega\u00e7\u00e3o, senhas salvas e dados de carteira de criptomoedas.<\/p>\n

O XWorm permite que os invasores monitorem as atividades das v\u00edtimas rastreando pressionamentos de tecla, capturando imagens de webcam, ouvindo entradas de \u00e1udio, escaneando conex\u00f5es de rede e visualizando janelas abertas. Ele tamb\u00e9m pode acessar e manipular a \u00e1rea de transfer\u00eancia do computador, potencialmente roubando credenciais de carteira de criptomoeda.<\/p>\n

Em 2024, o XWorm esteve envolvido em muitos ataques de larga escala, incluindo aqueles que exploraram t\u00faneis CloudFlare e certificados digitais leg\u00edtimos.<\/p>\n

\u00a0<\/h6>\n

An\u00e1lise de um ataque XWorm<\/strong><\/p>\n

<\/h6>\n

Os e-mails de phishing costumam ser o est\u00e1gio inicial dos ataques XWorm<\/strong><\/p>\n

\u00a0<\/h6>\n

Neste\u00a0ataque\u00a0, podemos ver o e-mail de phishing original, que cont\u00e9m um link para um Google Drive.<\/p>\n

<\/h6>\n

Uma p\u00e1gina do Google Drive com um link de download para um arquivo malicioso<\/strong><\/p>\n

\u00a0<\/h6>\n

Ao seguirmos o link, ser\u00e1 oferecido o download de um arquivo protegido por senha.<\/p>\n

<\/h6>\n

Arquivo malicioso aberto com um arquivo .vbs<\/strong><\/p>\n

\u00a0<\/h6>\n

A senha pode ser encontrada no e-mail. Ap\u00f3s digit\u00e1-la, podemos acessar um script .vbs dentro do arquivo .zip.<\/p>\n

<\/h6>\n

O XWorm usa o MSBuild.exe para persistir no sistema<\/strong><\/p>\n

\u00a0<\/h6>\n

Assim que iniciamos o script, o sandbox detecta instantaneamente atividades maliciosas, o que eventualmente leva \u00e0 implanta\u00e7\u00e3o do XWorm na m\u00e1quina.<\/p>\n

\u00a0<\/p>\n

AsyncRAT<\/strong><\/p>\n

AsyncRAT \u00e9 outro trojan de acesso remoto na lista. Visto pela primeira vez em 2019, ele foi inicialmente espalhado por e-mails de spam, frequentemente explorando a pandemia de COVID-19 como isca. Desde ent\u00e3o, o malware ganhou popularidade e foi usado em v\u00e1rios ataques cibern\u00e9ticos.<\/p>\n

O AsyncRAT evoluiu ao longo do tempo para incluir uma ampla gama de capacidades maliciosas. Ele pode secretamente registrar a atividade da tela de uma v\u00edtima, registrar pressionamentos de tecla, instalar malware adicional, roubar arquivos, manter uma presen\u00e7a persistente em sistemas infectados, desabilitar software de seguran\u00e7a e lan\u00e7ar ataques que sobrecarregam sites alvos.<\/p>\n

Em 2024, o AsyncRAT continuou sendo uma amea\u00e7a significativa, muitas vezes disfar\u00e7ado como software pirateado. Foi tamb\u00e9m uma das primeiras fam\u00edlias de malware a ser distribu\u00edda como parte de ataques complexos envolvendo scripts gerados por IA.<\/p>\n

\u00a0<\/p>\n

An\u00e1lise de um ataque AsyncRAT<\/strong><\/p>\n

<\/h6>\n

O arquivo inicial com um arquivo .exe<\/strong><\/p>\n

\u00a0<\/p>\n

Nesta\u00a0sess\u00e3o de an\u00e1lise\u00a0, podemos ver outro arquivo com um execut\u00e1vel malicioso dentro.<\/p>\n

<\/h6>\n

Um processo do PowerShell usado para baixar uma carga \u00fatil<\/strong><\/p>\n

\u00a0<\/h6>\n

A detona\u00e7\u00e3o do arquivo inicia a cadeia de execu\u00e7\u00e3o do XWorm, que envolve o uso de scripts do PowerShell para buscar arquivos adicionais necess\u00e1rios para facilitar a infec\u00e7\u00e3o.<\/p>\n

<\/h6>\n

ANY.RUN fornece um veredicto de amea\u00e7a junto com tags relevantes para contexto adicional<\/strong><\/p>\n

\u00a0<\/p>\n

Quando a an\u00e1lise estiver conclu\u00edda, o sandbox exibir\u00e1 o veredito final sobre a amostra.<\/p>\n

\u00a0<\/p>\n

Remcos<\/strong><\/p>\n

Remcos \u00e9 um malware que foi comercializado por seus criadores como uma ferramenta leg\u00edtima de acesso remoto. Desde seu lan\u00e7amento em 2019, ele tem sido usado em v\u00e1rios ataques para executar uma ampla gama de atividades maliciosas, incluindo roubo de informa\u00e7\u00f5es confidenciais, controle remoto do sistema, grava\u00e7\u00e3o de pressionamentos de tecla, captura de atividade de tela, etc.<\/p>\n

Em 2024, campanhas para distribuir Remcos usaram t\u00e9cnicas como ataques baseados em script, que geralmente come\u00e7am com um VBScript que inicia um script do PowerShell para implantar o malware, e exploraram vulnerabilidades como CVE-2017-11882 aproveitando arquivos XML maliciosos.<\/p>\n

\u00a0<\/p>\n

An\u00e1lise de um ataque Remcos<\/strong><\/p>\n

<\/h6>\n

E-mail de phishing aberto no Sandbox interativo do ANY.RUN<\/strong><\/p>\n

\u00a0<\/p>\n

Neste\u00a0exemplo\u00a0, recebemos outro e-mail de phishing que cont\u00e9m um anexo .zip e uma senha para ele.<\/p>\n

<\/h6>\n

Processo cmd usado durante a cadeia de infec\u00e7\u00e3o<\/strong><\/p>\n

\u00a0<\/p>\n

A carga final aproveita o prompt de comando e os processos do sistema Windows para carregar e executar o Remcos.<\/p>\n

<\/h6>\n

A matriz MITRE ATT&CK fornece uma vis\u00e3o abrangente das t\u00e9cnicas de malware<\/strong><\/p>\n

\u00a0<\/h6>\n

O sandbox ANY.RUN mapeia toda a cadeia de ataque para a matriz MITRE ATT&CK para maior conveni\u00eancia.<\/p>\n

\u00a0<\/p>\n

LockBit<\/strong><\/p>\n

O LockBit \u00e9 um ransomware que tem como alvo principal dispositivos Windows. \u00c9 considerado uma das maiores amea\u00e7as de ransomware, respondendo por uma parte substancial de todos os ataques de Ransomware-as-a-Service (RaaS). A natureza descentralizada do grupo LockBit permitiu que ele comprometesse in\u00fameras organiza\u00e7\u00f5es de alto perfil em todo o mundo, incluindo o Royal Mail do Reino Unido e os National Aerospace Laboratories da \u00cdndia (em 2024).<\/p>\n

As ag\u00eancias de aplica\u00e7\u00e3o da lei tomaram medidas para combater o grupo LockBit, levando \u00e0 pris\u00e3o de v\u00e1rios desenvolvedores e parceiros. Apesar desses esfor\u00e7os, o grupo continua operando, com planos de lan\u00e7ar uma nova vers\u00e3o, LockBit 4.0, em 2025.<\/p>\n

\u00a0<\/h6>\n

An\u00e1lise de um ataque LockBit<\/strong><\/p>\n

<\/h6>\n

Ransomware LockBit lan\u00e7ado no ambiente seguro do sandbox ANY.RUN<\/strong><\/p>\n

\u00a0<\/p>\n

Confira\u00a0esta sess\u00e3o sandbox\u00a0, mostrando o qu\u00e3o r\u00e1pido o LockBit infecta e criptografa arquivos em um sistema.<\/p>\n

<\/p>\n

O Sandbox interativo do ANY.RUN permite que voc\u00ea veja a an\u00e1lise est\u00e1tica de cada arquivo modificado no sistema<\/strong><\/p>\n

\u00a0<\/p>\n

Ao rastrear altera\u00e7\u00f5es no sistema de arquivos, podemos ver que ele modificou 300 arquivos em menos de um minuto.<\/p>\n

<\/p>\n

Nota de resgate diz \u00e0s v\u00edtimas para entrarem em contato com os agressores<\/strong><\/p>\n

\u00a0<\/p>\n

O malware tamb\u00e9m envia uma nota de resgate, detalhando as instru\u00e7\u00f5es para recuperar os dados.<\/p>\n

\u00a0<\/p>\n

Melhore sua seguran\u00e7a proativa com o Sandbox interativo do ANY.RUN<\/strong><\/p>\n

Analisar amea\u00e7as cibern\u00e9ticas proativamente em vez de reagir a elas quando se tornam um problema para sua organiza\u00e7\u00e3o \u00e9 o melhor curso de a\u00e7\u00e3o que qualquer empresa pode tomar.<\/p>\n

Simplifique com o sandbox interativo do ANY.RUN examinando todos os arquivos e URLs suspeitos dentro de um ambiente virtual seguro que ajuda voc\u00ea a identificar conte\u00fado malicioso com facilidade.<\/p>\n

Com o sandbox ANY.RUN, sua empresa pode:<\/p>\n