A pesquisa Picus Red Report coletou informações de janeiro a dezembro de 2024 e identificou um aumento expressivo de malwares infostealers. Segundo os dados, foi analisado mais de 1 milhão de amostras de malwares reais. Essas amostras revelaram mais de 14 milhões de ações maliciosas, 93% das quais estavam relacionadas às dez principais técnicas relacionadas no data-base MITRE ATT&CK, e examinou-se mais 11 milhões de instâncias dessas técnicas.
O relatório deste ano destacou uma nova onda de malware infostealer que os especialistas do Picus Labs identificaram como “SneakThief”. Ele ficou famoso por uma sequência de ataques tão eficaz que foi comparada a “The Perfect Heist”ou roubo perfeito. A infiltração ocorre em vários estágios, com injeção avançada de processos, exfiltração de canal seguro e persistência de inicialização.
Esses agentes de ameaça roubam informações e suas campanhas têm vários estágios, no estilo furto, que dependem de discrição, automação e persistência. As técnicas de ataque predominantes, identificadas em 2024, estão ordenadas pela porcentagem de amostras de malware:
Injeção de Processos
A intrusão do SneakThief envolveu injeção do seu código em aplicativos considerados confiáveis, como clientes de e-mail, ferramentas de produtividade, aplicativos de contabilidade e ferramentas de IA proprietárias da FinexaCore, desviando silenciosamente dados em tempo real.
Intérprete de comandos e scripts
Dentro do ambiente, o SneakThief se torna o orquestrador e implanta scripts em PowerShell, Python e Bash para automatizar suas operações. Então, desabilita firewalls, extrai dados e cria backdoors por meio dos quais ele pode acessar dados no futuro.
Credenciais de repositórios de senhas
Usando suas técnicas de raspagem de memória de última geração, exfiltra nomes de usuários e senhas para os sistemas mais sensíveis da FinexaCore. Essas credenciais expõem outros dados úteis: contas de armazenamento em nuvem, bancos de dados financeiros e até o e-mail pessoal do CEO. Com cada senha nova, o SneakThief amplia seu alcance, acessando mais profundamente dentro dos cofres digitais da FinexaCore.
Protocolo da camada de aplicação
O SneakThief conecta seus operadores por meio de canais de camada de aplicação que pareciam como qualquer outro trecho legítimo de tráfego. Camuflar com HTTPS e DoH permite exfiltrar dados sem ser pego. Esses “canais” garantiram que os operadores do SneakThief continue emitindo comandos e extraindo informações sem detecção. Os dispositivos de segurança da FinexaCore, inundados pela enorme quantidade de tráfego criptografado, permaneceram alheios à intenção maliciosa que fluía de sua rede.
Prejudicar as defesas
Os agentes do SneakThief tinham ciência de que uma anomalia acabaria sendo detectada pela equipe de cibersegurança da FinexaCore. Então, ele começou a prejudicar as defesas, primeiro interrompendo o software antivírus.
Depois, adulterou as ferramentas EDR e manipulou os logs para limpar qualquer vestígio de sua presença. Os analistas da FinexaCore finalmente perceberam que estavam sob ataque. Todos os seus esforços para rastrear a violação falharam, e a maioria de suas ferramentas foi comprometida. Suas defesas foram derrubadas, uma por uma, pelo SneakThief.
Dados criptografados para impacto
Quando as defesas caíram, o SneakThief iniciou a criptografia dos documentos mais significativos da FinexaCore, incluindo registros financeiros e contratos de clientes. O SneakThief criptografou os dados críticos da FinexaCore, prejudicando as operações da fintech e quebrando a confiança de seus clientes no software de segurança que eles achavam que os estava protegendo.
Descoberta de informações do sistema
Por trás do SneakThief, estavam operadores cuidadosos. Uma vez dentro do FinexaCore, eles mapearam a rede, observando alvos de alto valor e vulnerabilidades. Como eles conseguiram permanecer no ambiente da corporação sem serem detectados por tanto tempo, conseguiram inventariar e examinar cada servidor, cada banco de dados e cada ponto final dentro da empresa. Graças ao seu reconhecimento detalhado, o SneakThief se tornou capaz de atacar de maneira muito focada: nenhum ativo crítico escaparia de sua rede.
