A Avast descobriu uma comunidade online de menores construindo, trocando e disseminando malwares, incluindo ransomware e uma combinação de ladrões de informações e criptomineradores. O grupo atrai usuários jovens com anúncios para o acesso a diferentes kits de ferramentas e criação de malwares, para que leigos construam malwares com facilidade. Em alguns casos, as pessoas precisam comprar acesso à ferramenta para participar do grupo e, em outros, podem se tornar membros do grupo, onde a ferramenta é oferecida por 5 a 25 euros.
A comunidade usa servidores do Discord dedicados como um fórum de discussão e local de venda para disseminar famílias de malwares como a "Lunar", a "Snatch", ou a "Rift", seguindo a tendência atual de distribuir malwares como um serviço (malware-as-a-service). Os fóruns de discussão revelam que insultos relacionados à idade estão sendo feitos, quase diariamente. As crianças também revelaram as suas idades, discutiram a ideia de hackear os professores e os seus sistemas escolares, e mencionaram seus pais em conversas. Num grupo do Discord focado na venda de "Lunar", havia mais de 1,5 mil usuários, dos quais cerca de 60 a 100 tinham uma função de "cliente", o que significa que pagavam pela ferramenta de construção. Os preços das ferramentas de criação de malware diferem dependendo da categoria e da duração do acesso.
Os malwares trocados entre os adolescentes têm como alvo outros menores e adultos, e têm opções que incluem o roubo de senhas e de informações privadas, mineração de criptomoedas e até ransomwares. Por exemplo, se um cliente comprar uma ferramenta de construção e optar por usá-la para roubar dados, a amostra gerada enviará todos os dados roubados para esse cliente específico que os gerou e distribuiu. Ou, se um cliente usar uma ferramenta para gerar uma amostra de ransomware, será solicitado à vítima que envie dinheiro para a carteira de criptomoedas desse cliente específico. Outros recursos especializados incluem o roubo de contas de jogos, exclusão de pastas do Fortnite ou do Minecraft, ou a abertura repetida do navegador mostrando conteúdo adulto, aparentemente para provocar as vítimas.
"Essas comunidades podem ser atraentes para crianças e adolescentes, pois o hacking é visto como algo divertido, os criadores de malwares fornecem uma maneira acessível e fácil de hackear alguém e se gabar para os colegas, e até mesmo uma maneira de ganhar dinheiro com ransomwares, mineração de criptomoedas e a venda de dados de usuários", diz Jan Holman, Pesquisador de Malware da Avast. "No entanto, essas atividades não são inofensivas nem de longe, são criminosas. Elas podem ter consequências pessoais e legais significativas, especialmente se as crianças ou adolescentes expuserem as suas próprias identidades ou as das suas famílias ou se o malware comprado realmente infectar o computador das vítimas, deixando vulneráveis os dispositivos dessas famílias. Os seus dados, incluindo contas e dados bancários online, podem vazar para os cibercriminosos", acrescenta Holman.
Distribuição de malware via YouTube
Após comprar e compilar a sua amostra individualizada de malware, alguns clientes usam o YouTube para distribuí-lo no mercado. Os pesquisadores da Avast viram clientes criarem um vídeo no YouTube, supostamente mostrando informações sobre um jogo crackeado, ou um truque num jogo, cujo link enviam aos outros. No entanto, a URL realmente leva aos malwares. Para transmitir confiança no seu vídeo, eles pedem para que outras pessoas no Discord curtam e deixem os seus comentários no vídeo, endossando-o e mostrando ser genuíno. Em alguns casos, até pedem para que outras pessoas comentem que, se o software antivírus detectar o arquivo como malicioso, isso é um falso positivo.
"Essa técnica é bastante insidiosa, porque em vez de contas falsas e robôs, as pessoas reais é que são usadas para votar em conteúdo prejudicial. Como contas genuínas estão trabalhando juntas para comentar positivamente o conteúdo, o link malicioso parece ser mais confiável e, como tal, pode induzir mais pessoas a baixá-lo", comenta Jan Holman.
Através do monitoramento de comunidades online, a Avast descobriu que, apesar de os membros do grupo se apoiarem mutuamente no cibercrime, parcialmente considerado como uma brincadeira, mas também como roubo de dados e de dinheiro, também há conversas que facilmente se tornam bastante turbulentas. Observou-se uma considerável quantidade de brigas, instabilidade e bullying entre os usuários, com uma competição acirrada que chega ao ponto de se apropriar da base de códigos de outra pessoa e até à calúnia.
As ferramentas de criação de malware permitem aos usuários gerar arquivos maliciosos, sem precisar programar nada. Normalmente, os usuários precisam apenas selecionar as funcionalidades e personalizar detalhes como o ícone. Existem várias famílias de malwares construídos com essas ferramentas e apresentam interfaces de usuário semelhantes, com layouts, paletas de cores, nomes e logotipos ligeiramente diferentes. Geralmente, as ferramentas são projetadas para ser de curta duração, baseadas num código-fonte hospedado do GitHub ou alguma outra ferramenta de construção, renomeadas com um novo logotipo e nome, às vezes, levemente ajustadas ou modificadas com novas funcionalidades.
A Avast criou detecções que protegem os usuários contra as amostras que se espalham nos servidores e entrou em contato com o Discord, para informá-los sobre esses grupos. O Discord confirmou que eles tomam medidas para lidar com essas comunidades e baniu os servidores associados às descobertas da Avast.
