O time de pesquisa de ameaças avançadas da Symantec descobriu que as atividades do grupo Mealybug evoluíram da manutenção e entrega de seu próprio cavalo de troia bancário personalizado para a operação como distribuidor de ameaças a outros grupos que agem de forma similar para roubar informações de organizações. Quando o grupo foi identificado pela primeira vez, em 2014, utilizava um malware personalizado chamado Emotet para espalhar cavalos de troia que roubavam credenciais bancárias online de usuários de computadores na Europa. A telemetria nova da Symantec agora revela que o Emotet está concentrado em alvos nos EUA e também está sendo usado para espalhar o Qakbot, uma família separada de cavalos de troia bancários. Tanto o Emotet quanto o Qakbot têm recursos de autopropagação, o que permite que as ameaças se espalhem de forma agressiva quando se infiltram em uma rede.
“Acreditamos que o Mealybug deixou de ser um agente de ameaças isoladas e virou um distribuidor global. Isso segue uma tendência que identificamos no nosso relatório de segurança (ISTR) deste ano, que os grupos de ameaças estão refinando suas técnicas e modelos de negócios para maximizar os lucros”, afirma Jon DiMaggio, analista sênior de Inteligência sobre Ameaças da Symantec. “De acordo com nossa análise, parece que o Mealybug está dando suporte a vários grupos de ataque ao mesmo tempo e ganhando dinheiro ao receber parte dos lucros resultantes.”
A Symantec acredita que o Emotet e o Qakbot são controlados por dois grupos separados, e que o Mealybug está oferecendo o Emotet como mecanismo de entrega do Qakbot, além de outras ameaças. A análise da Symantec não detectou nenhuma sobreposição nas infraestruturas de comando e controle dos dois cavalos de troia, e também encontrou diferenças no código de seus componentes principais e em suas técnicas de antidebug.
As atividades do Mealybug representam alguns desafios para as empresas: suas capacidades parecidas com a de um worm permitem que as ameaças se espalhem rapidamente entre redes, e a quebra de senhas pode deixar as vítimas sem acesso a suas máquinas, prejudicando a produtividade dos usuários e aumentando a demanda das equipes de helpdesk e TI. Worms de rede como o Emotet e o Qakbot recuperaram notoriedade nos últimos anos, com outros exemplos notáveis incluindo o WannaCry e Petya/NotPetya. Esses ataques são particularmente desafiadores, pois as vítimas podem se infectar sem sequer clicar num link perigoso ou fazer o download de um anexo infectado.
Para ajudar na proteção contra ameaças como Emotet e Qakbot, recomenda-se que as organizações implementem soluções de segurança de endpoints, e-mail e gateway de web e as mantenham atualizadas com a proteção mais recente, para que as ameaças sejam detectadas o mais rápido possível. A Symantec também recomenda a utilização da autenticação de dois fatores nas contas para oferecer uma camada adicional de segurança e impedir que qualquer senha roubada ou quebrada seja usada pelos invasores.
