Derrubada botnet ativa desde 2011

A ESET aliou-se à Microsoft e a agências policiais – FBI, Interpol, Europol, entre outras entidades com interesse no combate ao cibercrime, e juntos conseguiram derrubar uma das principais botnets existentes, a Gamarue, que infetava vítimas desde 2011

Derrubada botnet ativa desde 2011

A operação para derrubar a botnet começou a 29 de novembro de 2017, e como resultado desde esforço conjunto, agências policiais por todo o mundo conseguiram fazer uma detenção e obstruir a atividade da família de malware responsável por infetar mais de 1,1 milhões de sistemas por dia.

Investigadores da ESET e da Microsoft partilharam análises técnicas, dados estatísticos e domínios conhecidos de servidores de comando e controlo (C&C) para ajudar a interromper a atividade maliciosa do grupo. A ESET partilhou também o seu conhecimento histórico sobre a botnet, adquirido graças à monitorização contínua do malware e do seu impacto nos utilizadores durante os últimos anos.

Criada por cibercriminosos em setembro de 2011 e vendida como um kit na Dark Web em fóruns obscuros, o propósito da família Gamarue era roubar credenciais e instalar malware adicional nos sistemas dos utilizadores.
Esta família de malware consiste num bot configurável, permitindo ao seu dono criar e usar plugins personalizados. Um destes plugins permite ao cibercriminoso roubar dados introduzidos pelos utilizadores em formulários web, enquanto outros permitem aos criminosos ligar-se a sistemas comprometidos e controlá-los.

A sua popularidade fez com que aparecessem várias botnets Gamarue independentes. A ESET descobriu que o malware foi distribuído pelo mundo através de redes sociais, mensagens instantâneas, mídia removível, spam e exploit kits.

Utilizando o serviço Threat Intelligence da ESET, os investigadores conseguiram criar um bot capaz de comunicar com o servidor C&C da ameaça. Desta forma, a ESET e a Microsoft seguiram de perto as botnets Gamarue durante o último ano e meio, identificando os seus servidores C&C e monitorizando o que era instalado nos sistemas das vítimas. As duas empresas compilaram assim uma lista de todos os domínios utilizados pelos cibercriminosos como servidores C&C.

“No passado, Wauchos era a família de malware mais detetada entre utilizadores da ESET, por isso quando fomos abordados pela Microsoft para participar num esforço conjunto contra a ameaça, de modo a proteger melhor os nossos utilizadores e o público em geral, obviamente concordámos,” disse Jean-Ian Boutin, investigador sénior de malware na ESET. “Esta ameaça em particular já existe há vários anos e está constantemente a reinventar-se, o que torna difícil monitorizá-la. Mas graças à Threat Intelligence da ESET e à colaboração com os investigadores da Microsoft, conseguimos acompanhar as mudanças no comportamento do malware, e assim fornecer dados que se revelaram cruciais nestes esforços.”

Tradicionalmente, os cibercriminosos têm usado o malware Gamarue para roubar credenciais de websites dos utilizadores domésticos através de um plugin de furto de formulários. No entanto, os investigadores da ESET verificaram recentemente que o malware também tem sido usado para instalar vários spam bots em máquinas comprometidas num esquema de pagamento por instalação.

Tags

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 11 Dezembro 2017

IT INSIGHT Nº 11 Dezembro 2017

NEWSLETTER

Receba todas as novidades na sua caixa de correio!