Novas ameaças multiplataforma preocupam investigadores de segurança
A Equipa Global de Investigação e Análise (GReAT) da Kaspersky descobriu três ameaças multiplataforma. No seu último relatório, revela três novas estratégias implementadas pelos cibercriminosos que usam a campanha FakeSG, o ransomware Akira e o stealer AMOS macOS.
O atual panorama do crimeware é marcado por uma evolução constante, uma vez que os cibercriminosos implementam, cada vez mais, novas táticas em múltiplas plataformas para explorar as suas vítimas. Os especialistas da Kaspersky analisaram estas ameaças, incluindo o ransomware multiplataforma, os stealers de macOS e as campanhas de distribuição de malware.
A ciberameaça mais recente, descoberta pela GReAT, é a campanha FakeSG, em que os sites legítimos são comprometidos e exibem notificações enganosas de atualização do browser. O ato de clicar nestas notificações desencadeia a transferência de um ficheiro nocivo e, apesar de alterar os URLs, o caminho (/cdn/wds.min.php) permanece constante. O ficheiro transferido executa scripts ocultos, solicitando aos utilizadores que atualizem os seus browsers, enquanto estabelece a persistência através de tarefas agendadas. Dentro do arquivo, um ficheiro malicioso expõe o endereço de Comando e Controlo (C2), realçando a sofisticação desta campanha.
O Akira, uma nova variante de ransomware, que afeta tanto os sistemas Windows como os sistemas Linux, conseguiu infetar mais de 60 organizações a nível global, atacando os setores de retalho, bens de consumo e educação.
A sua adaptabilidade para funcionar em várias plataformas realça o seu impacto em diferentes sectores. O Akira partilha características com a variante Conti, tais como uma lista de exclusão de pastas idêntica, e apresenta um painel de Comando e Controlo (C2) distinto, com um design tradicional e minimalista que o protege contra tentativas de análise, o que realça a sofisticação das ciberameaças em evolução.
Por seu lado, o stealer AMOS macOS, um programa malicioso que surgiu em abril de 2023, inicialmente vendido por 1.000 dólares/mês no Telegram, evoluiu de Go para C, implantando malvertising em sites de software clonados. Utilizando também métodos enganadores como o malvertising, consegue infiltrar-se nos sistemas macOS, recuperando e comprimindo dados do utilizador para transmissão ao servidor de Comando e Controlo, através de um UUID único para identificação. Isto reflete uma tendência crescente de stealers específicos para macOS que exploram potenciais vulnerabilidades, desviando-se da sua associação tradicional com as plataformas Windows.
“A adaptação ao cenário dinâmico das ciberameaças é fundamental para a proteção dos nossos ambientes digitais. O surgimento deste novo crimeware, juntamente com os métodos não padronizados que os cibercriminosos empregam em diversos sistemas operativos, realça a urgência da vigilância e da inovação nos sistemas de deteção. Permanecer um passo à frente exige um esforço coletivo e enfatiza o papel crucial da investigação e colaboração contínuas para fortalecer as nossas defesas contra as ciberameaças em evolução”, afirma Jornt van der Wiel, investigador de segurança sénior na GReAT.