Nesta terça-feira,6, o SophosLabs Uncut publicou um novo artigo sobre o Baldr, uma família de malwares que chegou ao mercado da deep web em janeiro de 2019. O relatório completo da SophosLabs, "Baldr vs. The World", contém informações detalhadas sobre a ascensão e a queda do Baldr, levando ao seu recente desaparecimento.
Até então, as informações sobre o Baldr eram escassas, por isso a SophosLabs infiltrou-se para rastrear atividades na deep web. Este relatório detalhado desconstrói o malware, revelando como ele funciona por dentro, com comportamentos cibercriminosos interessantes e equívocos tanto no lado de quem o vende quanto no de quem compra.
Algumas das descobertas do relatório incluem:
Os criadores do Baldr o desenvolveram para ser vendido a cibercriminosos iniciantes, que, por sua vez, foram os primeiros a mirar jogadores de PC;
Desde então, os alvos do Baldr foram muito além dos gamers e, agora, ele está afetando uma variedade maior de softwares;
O Baldr, como muitos tipos de malware, usa fragmentos de código emprestados de outras famílias de malware. Ele é como um "Frankenstein" de fragmentos de código, usando códigos emprestados de um número relativamente grande de outros malwares;
O Baldr pode rapidamente acessar uma ampla gama de informações de suas vítimas, incluindo senhas salvas, dados armazenados em cache, arquivos de configuração, cookies e outros arquivos de uma variedade de aplicativos, incluindo:
22 navegadores diferentes;
14 carteiras de criptomoeda diferentes;
Clientes de aplicativos VPN;
Ferramentas de transferência de arquivos;
Clientes de mensagens instantâneas e bate-papo;
Clientes de jogos e serviços de jogos, como Steam, Epic e Sony;
Serviços adjacentes de jogos, como Twitch ou Discord.
Os ataques foram ampliados além de jogos para abranger todos os usuários de computador, e houve registro de infecções em todo o mundo, lideradas pela Indonésia (mais de 21%), Estados Unidos (10,52%), Brasil (14,14%), Rússia (13,68%), Índia (8,77%) e Alemanha (5,43%), segundo dados da SophosLabs;
O código do servidor do Baldr continha bugs que permitiam ainda que outros hackers instalassem backdoors para roubar as senhas dos clientes e os dados que já haviam sido comprometidos;
Alguns clientes configuraram mal os comandos do código do servidor, deixando ferramentas e dados expostos. A SophosLabs descobriu mais de 150 arquivos de log contendo dados roubados de computadores vitimados que haviam sido carregados acidentalmente no site Virus Total;
Os pesquisadores acreditam que o malware é provavelmente de origem russa, e que os dados roubados de vítimas russas e de países vizinhos (CEI) foram armazenados em uma pasta especial no servidor de comando dos invasores;
A oferta do Baldr à venda desapareceu em junho, aparentemente após uma discussão entre o criador e o distribuidor. A SophosLabs acredita que ele ressurgirá em algum tempo, talvez com um nome diferente.
"Se o Baldr foi um evento isolado que rapidamente atingiu seu auge e, em seguida, decaiu vítima de uma disputa interna entre os ladrões cibernéticos, ou se retornará como uma ameaça a longo prazo, ainda vamos descobrir. No entanto, a sua existência já é um bom lembrete de que mesmo pedaços roubados de código de malware, reunidos para criar um "monstro de malware estilo Frankenstein", podem ser incrivelmente eficazes para invadir um sistema, roubar tudo e sair correndo de novo. A única maneira de impedir tais ameaças é a adoção de práticas de segurança básicas, mas essenciais, que incluem o uso de software de segurança atualizado", disse Albert Zsigovits, pesquisador de ameaças da SophosLabs em Budapeste, Hungria.
