Trojans

WINELOADER é um malware backdoor modular que foi recentemente observado visando autoridades europeias, especialmente aquelas com conexões com missões diplomáticas indianas. Esse backdoor faz parte de uma sofisticada campanha de espionagem cibernética chamada SPIKEDWINE, que se caracteriza por seu baixo volume e táticas, técnicas e procedimentos avançados (TTPs). A campanha usa engenharia social, aproveitando um convite falso para um evento de degustação de vinhos para atrair as vítimas a iniciar a cadeia de infecção do malware. WINELOADER é um backdoor anteriormente não documentado com design modular, o que significa que possui componentes separados que podem ser executados e atualizados de forma independente. O backdoor é capaz de executar comandos de um servidor de comando e controle (C2), injetando-se em outras bibliotecas de vínculo dinâmico (DLLs) e atualizando o intervalo de suspensão entre solicitações de beacon para o servidor C2. O malware usa técnicas sofisticadas de evasão, como criptografar seu módulo principal e módulos subsequentes baixados do servidor C2, recriptografar strings dinamicamente e empregar buffers de memória para armazenar resultados de chamadas de API. Ele também substitui as strings descriptografadas por zeros após o uso para evitar a detecção por ferramentas forenses de memória.

StrelaStealer é um tipo de malware do tipo ladrão que visa especificamente credenciais de login de contas de e-mail. Ele foi descoberto pela primeira vez por pesquisadores em novembro de 2022 e foi observado que ele era distribuído por meio de e-mails de spam direcionados a usuários que falam espanhol. O malware foi projetado para extrair credenciais de login de contas de e-mail de clientes de e-mail populares, como Microsoft Outlook e Mozilla Thunderbird. Depois que o malware é carregado na memória, o navegador padrão é aberto para mostrar a isca e tornar o ataque menos suspeito. Detalhes do StrelaStealer Após a execução, o StrelaStealer pesquisa no diretório '%APPDATA%\Thunderbird\Profiles' por 'logins.json' (conta e senha) e 'key4.db' (banco de dados de senhas) e exfiltra seu conteúdo para o servidor C2. Para Outlook, StrelaStealer lê o Registro do Windows para recuperar a chave do software e, em seguida, localiza os valores ‘Usuário IMAP’, ‘Servidor IMAP’ e ‘Senha IMAP’. A senha IMAP contém a senha do usuário em formato criptografado, portanto, o malware usa a função Windows CryptUnprotectData para descriptografá-la antes de ser exfiltrada para o C2 junto com o servidor e os detalhes do usuário. É crucial seguir as instruções de remoção na ordem correta e usar ferramentas antimalware legítimas e atualizadas para garantir a erradicação completa do malware. Após a remoção do malware, também é fundamental alterar todas as senhas imediatamente, pois as credenciais roubadas podem ter sido comprometidas.

Vírus Apex Legends é uma ameaça à segurança cibernética que tem como alvo os fãs do popular jogo Battle Royale, Apex Legends. Esta ameaça é particularmente insidiosa porque se disfarça como cheats ou melhorias para o jogo, explorando o entusiasmo dos jogadores que procuram ganhar vantagem na sua jogabilidade. No entanto, em vez de fornecer quaisquer benefícios reais, infecta os computadores dos utilizadores com malware, levando a um potencial roubo de dados e outras atividades maliciosas. A remoção do vírus Apex Legends requer uma abordagem completa para garantir que todos os componentes do malware sejam erradicados do sistema. Usar software antivírus ou antispyware confiável para executar uma verificação completa do sistema pode ajudar a detectar e remover o RAT e quaisquer outros componentes de malware associados. Para usuários com experiência em TI, a remoção manual pode envolver a identificação e exclusão de arquivos maliciosos e entradas de registro, mas essa abordagem pode ser arriscada e não é recomendada para usuários inexperientes. Em alguns casos, restaurar o computador para um estado anterior antes da ocorrência da infecção pode ajudar a remover o malware, embora este método possa nem sempre ser eficaz se o vírus estiver profundamente incorporado no sistema. Como último recurso, reinstalar completamente o sistema operacional removerá qualquer malware presente, mas também apagará todos os dados do computador, portanto, só deve ser considerado se todos os outros métodos de remoção falharem.

JS/Agent Trojan refere-se a uma grande família de cavalos de Tróia escritos em JavaScript, uma linguagem de script popular amplamente usada para criar páginas web dinâmicas. Esses scripts maliciosos são projetados para realizar uma variedade de ações não autorizadas no computador da vítima, desde roubo de dados até download e execução de outros malwares. Devido ao uso generalizado de JavaScript no desenvolvimento web, os Trojans JS/Agent podem se misturar facilmente com conteúdo legítimo da web, tornando-os particularmente difíceis de detectar e remover. O Trojan JS/Agent é uma classificação ampla para uma família de arquivos JavaScript maliciosos que representam ameaças significativas aos sistemas de computador. Esses Trojans são famosos por sua versatilidade no fornecimento de cargas úteis, no roubo de dados e na facilitação do acesso não autorizado a sistemas infectados. Compreender a natureza do Trojan JS/Agent, seus mecanismos de infecção e estratégias eficazes de remoção é crucial para manter a segurança cibernética. A remoção de um Trojan JS/Agent de um sistema infectado requer uma abordagem abrangente, pois esses Trojans podem baixar malware adicional e modificar as configurações do sistema para evitar a detecção.

Glorysprout Stealer é um tipo de malware, especificamente um ladrão, que tem como alvo uma ampla gama de informações confidenciais, incluindo carteiras de criptomoedas, credenciais de login, números de cartão de crédito e muito mais. Escrito em C++, é baseado no ladrão Taurus descontinuado, com suspeitas de que o código-fonte do Taurus tenha sido vendido, levando ao desenvolvimento do Glorysprout. Apesar dos materiais promocionais sugerirem uma variedade de funcionalidades, os analistas de segurança cibernética notaram algumas discrepâncias entre as capacidades anunciadas e as observadas. Glorysprout é compatível com as versões 7 a 11 do sistema operacional Windows e oferece suporte a diferentes arquiteturas de sistema. É comercializado como um software personalizável com supostos recursos de detecção de máquinas virtuais, embora esse recurso não tenha sido confirmado pelos analistas. Após a infiltração bem-sucedida, o Glorysprout coleta dados extensivos do dispositivo, incluindo detalhes sobre CPU, GPU, RAM, tamanho da tela, nome do dispositivo, nome de usuário, endereço IP e geolocalização. Ele tem como alvo uma variedade de softwares, incluindo navegadores, carteiras criptográficas, autenticadores, VPNs, FTPs, software de streaming, mensageiros, clientes de e-mail e aplicativos relacionados a jogos. Dos navegadores, ele pode extrair históricos de navegação, favoritos, cookies da Internet, preenchimentos automáticos, senhas, números de cartão de crédito e outros dados vulneráveis. Além disso, pode fazer capturas de tela. Embora anuncie habilidades de grabber (ladrão de arquivos) e keylogging (gravação de teclas), essas funcionalidades estavam ausentes nas versões conhecidas do Glorysprout.

Remcos RAT (Remote Control and Surveillance) é um Trojan de acesso remoto que tem sido usado ativamente por cibercriminosos desde sua primeira aparição em 2016. Comercializado como uma ferramenta legítima para administração remota por seu desenvolvedor, Breaking Security, o Remcos tem sido amplamente utilizado para fins maliciosos. Ele permite que invasores obtenham acesso backdoor a um sistema infectado, permitindo-lhes realizar diversas ações sem o conhecimento ou consentimento do usuário. Remcos RAT é um malware poderoso e furtivo que apresenta riscos significativos aos sistemas infectados. Sua capacidade de evitar a detecção e manter a persistência o torna uma ameaça formidável. No entanto, seguindo as melhores práticas de prevenção e empregando uma abordagem abrangente à remoção, as organizações e os indivíduos podem mitigar os riscos associados ao Remcos e proteger os seus sistemas contra comprometimentos.

Win32/FakeSysDef, também conhecido como Trojan:Win32/FakeSysdef, é um tipo de malware classificado como Trojan. Foi documentado pela primeira vez no final de 2010 e tem como alvo o sistema operacional Microsoft Windows. Este software malicioso se disfarça como uma ferramenta legítima de desfragmentação do sistema, alegando verificar falhas de hardware relacionadas à memória do sistema, discos rígidos e desempenho geral do sistema. No entanto, o seu verdadeiro objetivo é enganar os utilizadores, fazendo-os acreditar que o seu sistema está repleto de erros e problemas de hardware. O Trojan faz alterações generalizadas no sistema, que podem incluir a modificação das configurações do Internet Explorer, a alteração do papel de parede da área de trabalho, a ocultação de links da área de trabalho e do menu Iniciar, a desativação do Gerenciador de Tarefas do Windows e a configuração de tipos de arquivos de baixo risco. Durante a instalação, ele pode encerrar processos em execução e forçar uma reinicialização e, em seguida, tentar bloquear todos os programas iniciados, exibindo mensagens de erro falsas e solicitando que o usuário compre o software falso para corrigir os problemas. Os sintomas de uma infecção Win32/FakeSysDef são bastante perceptíveis. Os usuários verão vários alertas falsos indicando erros do sistema e a aparência de uma verificação do sistema. O malware solicita que o usuário compre e ative um “Módulo Avançado” inexistente para corrigir os erros descobertos. Se o usuário concordar em comprar, ele será direcionado a fornecer informações de cartão de crédito, seja por meio de um formulário no aplicativo ou sendo redirecionado para um site.

Conhost.exe, abreviação de Console Windows Host, é um componente legítimo do sistema operacional Windows que facilita a interação entre a interface do usuário do Windows e os utilitários de linha de comando. No entanto, este processo tem sido explorado por cibercriminosos para realizar atividades maliciosas, particularmente no domínio da mineração de criptomoedas. Sabe-se que os cibercriminosos disfarçam o malware de criptomineração como o processo conhost.exe para extrair Monero, uma criptomoeda popular, sem o conhecimento do proprietário do computador. Este tipo de malware, muitas vezes referido como criptominerador, sequestra os recursos do computador, particularmente a CPU, para resolver problemas matemáticos complexos que validam transações na rede Monero, ganhando assim moedas Monero para os atacantes. O processo de criptomineração consome muitos recursos e pode levar à diminuição do desempenho do computador, ao aumento do consumo de eletricidade e a possíveis danos ao hardware devido ao superaquecimento. O vírus conhost.exe, especificamente, foi associado a uma variante de malware de criptomineração que usa o computador da vítima para extrair Monero, conectando-se a um pool de mineração e utilizando o máximo de energia da CPU possível.