Investigadores de segurança da ESET, com ajuda da Microsoft e agências de segurança, como FBI, Interpol e Europol, desmantelaram uma importante operação de botnet conhecida como Gamarue, que já infectou milhões de vítimas desde 2011.
Para chegar na interrupção da atividade maliciosa dessa família de malware, responsável por infectar mais de 1,1 milhões de sistemas por mês, o trabalho dos envolvidos teve início no dia 29 de novembro. Na América Latina, Peru e México estão entre os cinco países com maior quantidade de detecções.
O Gamarue foi criado por criminosos cibernéticos em setembro de 2011 e vendido em fóruns clandestinos da Deep Web como um kit de cibercrime. O objetivo do Gamarue era roubar credenciais, e ainda, baixar e instalar um malware adicional no sistema dos usuários.
Esse tipo de malware é um botnet e permite que o atacante crie e utilize complementos personalizados nos equipamentos das vítimas. Dentro dessas características de ameaça, o cibercriminoso também consegue roubar o conteúdo inserido em formulários na web ou ter o acesso remoto ao sistema para controla-lo à distância.
Sua popularidade deu lugar a uma série de botnets Gamarue independentes. A ESET descobriu que suas amostras foram distribuídas em todo o mundo através de redes sociais, mensagens instantâneas, dispositivos USB, spam e exploitkits.
Os cibercriminosos comumente utilizam o Gamarue para redirecionar usuários domésticos e poder roubar credenciais de sites por meio de seu plugin de captura de formulário. No entanto, os pesquisadores da ESET viram o malware ser usado recentemente para instalar vários bots de spam em máquinas comprometidas no chamado esquema de pagamento por instalação.
Os investigadores da ESET e da Microsoft compartilharam análises técnicas, informações estatísticas e domínios de servidores de Comando e Controle (C&C) para ajudar a interromper a atividade maliciosa do grupo. A ESET contribuiu para a ação com o conhecimento que adquiriu ao longo dos anos sobre o Gamarue, obtido por meio do monitoramento contínuo e pelo impacto do malware nos últimos tempos.
Os investigadores da ESET e da Microsoft coletaram informações utilizando o serviço ESET Threat Intelligence. A ESET desenvolveu um programa que se comporta como um bot e, com isso, pode comunicar-se com o servidor de Comando & Controle (C&C) da ameaça, e, a partir destas conexões, acompanhar de perto o comportamento dos botnets do Gamarue do último um ano e meio. A partir das informações coletadas neste tempo, foi possível identificar os servidores de Comando & Controle (C&C) para logo desmontá-los, além de monitorar a forma como operava e de que maneira localizar outros domínios utilizados por cibercriminosos.
“No passado, essa foi a família de malwares mais detectada entre os usuários da ESET, portanto, quando a Microsoft veio até nós para que juntos tentássemos interrompê-la e, assim, proteger melhor nossos usuários e o público em geral, concordamos imediatamente”, disse Jean-Ian Boutin, pesquisador sênior de malwares da ESET. “Esta ameaça em particular existe há muitos anos e é capaz de se reinventar constantemente, o que pode dificultar seu monitoramento. Mas, ao usar o ESET Threat Intelligence e ao trabalhar em colaboração com os investigadores da Microsoft, fomos capazes de acompanhar as mudanças no comportamento do malware e, consequentemente, fornecer dados processáveis que se mostraram fundamentais aos esforços de eliminação da ameaça”.
Veja também
Sobre o Autor
Deixe seu comentário