A Symantec anuncia que seu time de pesquisa de ameaças avançadas descobriu que as atividades do grupo Mealybug evoluíram da manutenção e entrega de seu próprio cavalo de troia bancário personalizado para a operação como distribuidor de ameaças a outros grupos que agem de forma similar para roubar informações de organizações.
Quando o grupo foi identificado pela primeira vez, em 2014, utilizava um malware personalizado chamado Emotet para espalhar cavalos de troia que roubavam credenciais bancárias online de usuários de computadores na Europa. A telemetria nova da Symantec agora revela que o Emotet está concentrado em alvos nos EUA e também está sendo usado para espalhar o Qakbot, uma família separada de cavalos de troia bancários. Tanto o Emotet quanto o Qakbot têm recursos de autopropagação, o que permite que as ameaças se espalhem de forma agressiva quando se infiltram em uma rede.
"Acreditamos que o Mealybug deixou de ser um agente de ameaças isoladas e virou um distribuidor global. Isso segue uma tendência que identificamos no nosso relatório de segurança (ISTR) deste ano, que os grupos de ameaças estão refinando suas técnicas e modelos de negócios para maximizar os lucros", afirma Jon DiMaggio, analista sênior de Inteligência sobre Ameaças da Symantec. "De acordo com nossa análise, parece que o Mealybug está dando suporte a vários grupos de ataque ao mesmo tempo e ganhando dinheiro ao receber parte dos lucros resultantes."
A Symantec acredita que o Emotet e o Qakbot são controlados por dois grupos separados, e que o Mealybug está oferecendo o Emotet como mecanismo de entrega do Qakbot, além de outras ameaças. A análise da Symantec não detectou nenhuma sobreposição nas infraestruturas de comando e controle dos dois cavalos de troia, e também encontrou diferenças no código de seus componentes principais e em suas técnicas de antidebug.
As atividades do Mealybug representam alguns desafios para as empresas: suas capacidades parecidas com a de um worm permitem que as ameaças se espalhem rapidamente entre redes, e a quebra de senhas pode deixar as vítimas sem acesso a suas máquinas, prejudicando a produtividade dos usuários e aumentando a demanda das equipes de helpdesk e TI. Worms de rede como o Emotet e o Qakbot recuperaram notoriedade nos últimos anos, com outros exemplos notáveis incluindo o WannaCry e Petya/NotPetya. Esses ataques são particularmente desafiadores, pois as vítimas podem se infectar sem sequer clicar num link perigoso ou fazer o download de um anexo infectado.
Para ajudar na proteção contra ameaças como Emotet e Qakbot, recomenda-se que as organizações implementem soluções de segurança de endpoints, e-mail e gateway de web e as mantenham atualizadas com a proteção mais recente, para que as ameaças sejam detectadas o mais rápido possível. A Symantec também recomenda a utilização da autenticação de dois fatores nas contas para oferecer uma camada adicional de segurança e impedir que qualquer senha roubada ou quebrada seja usada pelos invasores. O Symantec Targeted Attack Analytics (TAA), um recurso novo do Symantec Advanced Threat Protection, pode detectar as atividades do Emotet com base em padrões suspeitos em seu comportamento de propagação, como quando o módulo de disseminação implanta arquivos em várias máquinas.