O cenário do crime cibernético na América Latina (LATAM) continua a evoluir à medida que os adversários refinam suas táticas, técnicas e procedimentos (TTPs) para contornar as defesas e expandir seu alcance. Em 2024, os agentes de ameaças baseados na América Latina demonstraram um foco claro em combater os métodos de detecção tradicionais.
Por exemplo, o uso exclusivo do Rust em componentes de downloader destaca os esforços para se adaptar às modernas defesas de segurança cibernética. Ao mesmo tempo, muitos TTPs permanecem consistentes, com cadeias de infecção em vários estágios, campanhas de phishing e malspam usados para atingir as instituições financeiras em toda a região. Essas TTPs duradouras, combinadas com ferramentas inovadoras, mostram a natureza adaptativa desses criminosos cibernéticos.
Entre as atualizações notáveis, o Kiron surgiu como a família de malware mais ativamente desenvolvida em 2024. Os desenvolvedores introduziram novos mecanismos de entrega, incluindo uma extensão para roubo de navegador, e fizeram uma breve experiência com downloaders baseados em Rust. Além disso, as campanhas do Kiron espelharam os TTPs do SAMBA SPIDER (o operador do Mispadu), ressaltando a colaboração e o conhecimento compartilhado entre os agentes de ameaças da América Latina.
Mergulho profundo: Evolução das famílias de malware da LATAM
As famílias de malware analisadas pela CrowdStrike – Mispadu, Kiron, Caiman, Culebra, Salve e Astaroth – demonstram a capacidade de adaptação dos criminosos cibernéticos da América Latina. Cada família reflete inovações exclusivas, desde a adoção de novas linguagens de programação, como Rust, até novas técnicas de ofuscação e mecanismos de entrega atualizados.
A companhia explorou como cada uma dessas famílias de malware evoluiu em 2024 e destaca seus TTPs específicos. Ao combinar avanços modernos com TTPs comprovados, essas atualizações oferecem aos pesquisadores de segurança cibernética oportunidades valiosas para continuar detectando e rastreando essas ameaças.
Uma área significativa de inovação são as técnicas de ofuscação, com famílias de malware como a Caiman adotando algoritmos totalmente novos e outras – como Kiron, Culebra e Astaroth – colocando métodos adicionais na abordagem baseada em XOR amplamente utilizada. Essa evolução ressalta o foco dos desenvolvedores em permanecer à frente dos esforços de detecção.
A experimentação com componentes do downloader Rust é outro desenvolvimento notável, refletindo a disposição de explorar linguagens de programação modernas para evasão. Há uma chance de que os desenvolvedores continuem a usar o Rust em campanhas futuras. Essa avaliação é feita com baixa confiança com base no uso limitado de componentes Rust e seu subsequente abandono, o que sugere incerteza sobre sua praticidade para adoção a longo prazo.
Apesar dessas inovações, é muito provável que os componentes baseados em Delphi continuem sendo um elemento básico do malware da América Latina no curto prazo. Essa avaliação é feita com confiança moderada, pois sua confiabilidade e anos de uso fazem deles uma escolha confiável para os operadores de malware.
Ao monitorar de perto esses desenvolvimentos e aproveitar os insights sobre TTPs novas e duradouras, a comunidade de segurança cibernética pode permanecer proativa na atenuação das ameaças em evolução representadas pelo malware de crime eletrônico baseado na América Latina.
Recomendações
Para atenuar os riscos apresentados pela atividade descrita neste relatório, considere a implementação das práticas recomendadas a seguir:
Aumentar a conscientização do usuário: Treine os funcionários para reconhecer técnicas de engenharia social e identificar e-mails de phishing. Enfatize a importância de evitar a execução de arquivos de fontes não confiáveis.
Validar as fontes de software: Sempre verifique os certificados dos sites nas páginas de download para confirmar que o software é originário de uma fonte legítima e confiável.
Fortalecer as proteções do navegador: Ative as configurações de proteção de download nos navegadores para emitir avisos sobre sites ou arquivos potencialmente prejudiciais.
Restringir as execuções baseadas em scripts: Desative o Windows Script Host (WSH) por meio do Registro do Windows nos sistemas em que a ferramenta não é necessária. Implemente políticas de execução de scripts usando o App Control for Business para bloquear a execução de scripts como PS, VBS e MSHTA.
