Infostealers: a ameaça disseminada dos malwares de roubo de informações

Embora os ataques de ransomware talvez ainda chamem a atenção nas manchetes, uma forma traiçoeira de malware conhecida como infostealers (forma curta de “information-stealing malware”, ou “malware de roubo de informações”) vem se tornando bem mais habitual, prejudicando desde grandes empresas a usuários comuns. Os infostealers visam informações sensíveis em sistemas infectados, tais como senhas, carteiras de criptomoedas, cookies de sessões, dados financeiros e outros dados pessoais que possam ser rapidamente exfiltrados por agentes mal-intencionados. Muitos infostealers são vendidos como um “malware como serviço (MaaS)”, ou seja, criminosos podem contratar uma assinatura (pagando normalmente centenas de dólares por mês) para ter acesso a um malware que será utilizado de acordo com os próprios objetivos, enquanto a manutenção e a hospedagem permanecem nas mãos do desenvolvedor que vende o serviço.  Isso ajuda a diminuir as barreiras tecnológicas para a atuação de criminosos cibernéticos, acelerando a disseminação dos infostealers. Como as vítimas são infectadas? As vítimas podem ser infectadas de diversas formas, como e-mails de phishing, acessando sites infectados ou baixando aplicativos fraudulentos. Depois que um computador ou rede é infectado, o malware é executado para tentar identificar e exfiltrar rapidamente informações fundamentais (inclusive, se possível, as senhas mestres do LastPass) de navegadores e de outras pastas importantes. A partir daí, os agentes mal-intencionados usarão esses dados para acessar contas sensíveis ou criarão pacotes de dados destinados à venda em marketplaces, fóruns ou outros sites criminosos. No momento, os preços têm uma média de US$ 10 por registro e há sempre milhões de registros à venda, comprovando a disseminação e a natureza corriqueira dos infostealers. Esses registros contêm credenciais e outros dados sensíveis das vítimas que podem ser grandes multinacionais, pequenas empresas ou usuários comuns que tiveram seus computadores invadidos. O que o LastPass está fazendo a respeito dessa situação? A primeira das nossas ações de intensificação da segurança está sendo investir maciçamente em nosso programa de inteligência contra ameaças cibernéticas.  Para isso, montamos a equipe dedicada de Inteligência, Mitigação e Escalonamento de Ameaças (Threat Intelligence, Mitigation, and Escalation, TIME), estamos ampliando nossos mecanismos de monitoramento e alerta de inteligência contra ameaças aproveitando relatórios de código aberto e proprietários, e monitoramos proativamente fontes da deep e da dark web para identificar atividades mal-intencionadas. Além disso, estamos operacionalizando essa inteligência com a automação de sua integração com as nossas equipes de detecção e resposta e de gerenciamento de vulnerabilidades, a fim de reduzir o tempo de mitigação. Por fim, desenvolvemos um processo exclusivo e totalmente direcionado ao monitoramento e alerta de credenciais expostas para clientes que ativam o monitoramento da dark web. Como era de se esperar, as senhas mestres têm um enorme valor na comunidade de infostealers, considerando o potencial de acessar o cofre de clientes e, consequentemente, suas senhas e dados sensíveis. Embora existam dezenas de infostealers, o LastPass está monitorando três que costumam anunciar a venda de credenciais de nossos clientes:

• Redline: lançado em 2020, está entre uma das ofertas mais comuns.
• Raccoon: há variações deste MaaS desde 2019.
• Vidar: lançado por volta de 2018, este MaaS também consegue fazer capturas de telas.

O LastPass está tomando providências importantes para proteger as credenciais de nossos clientes. Ampliamos recentemente o monitoramento da dark web para considerar também registros de infostealers e outras fontes, a fim de identificar possíveis vazamentos de credenciais de clientes do LastPass. Embora não possamos ajudar a evitar a infecção inicial que costuma acontecer por phishing, acesso a sites infectados ou uso de aplicativos fraudulentos no dispositivo do usuário final, podemos ajudar a proteger nossos clientes informando-os que detectamos o roubo de seus dados. O que você pode fazer para proteger sua conta? Recomendamos a todos os usuários do LastPass que ativem o monitoramento da dark web para ter mais uma camada de proteção na internet. Enviaremos uma notificação caso detectemos credenciais suas na dark web. Além disso:

• Use a autenticação multifator (MFA) sempre que for uma opção de proteção das suas contas. Não aceite nem aprove solicitações de autenticação multifator que você não gerou.
• Não confie em aplicativos oferecidos por canais não tradicionais (por exemplo, canais que não sejam as lojas tradicionais de aplicativos).
• Use um antivírus, atualize-o regularmente ou, melhor ainda, ative as atualizações automáticas.
• Não salve sua senha mestre no dispositivo, nem mesmo nas opções de preenchimento automático oferecidas pelo seu navegador.

Continuaremos aprimorando nossos recursos de monitoramento e alertas e já estamos desenvolvendo um processo para impedir proativamente que esses malwares afetem as contas do LastPass. Temos o compromisso de manter os nossos clientes e a comunidade de cibersegurança em geral a par dessas tendências, do que estamos fazendo para proteger os dados dos nossos clientes e dos efeitos das nossas providências, tudo isso para honrar a nossa promessa de transparência. LastPass Labs é o hub de conteúdos da equipe dedicada de Inteligência, Mitigação e Escalonamento de Ameaças (Threat Intelligence, Mitigation, and Escalation, TIME) do LastPass. Nosso objetivo é apresentar análises profundas do que há de mais novo na área de segurança, com um olhar apurado para tecnologias inovadoras e pontos de vista singulares sobre ameaças. A equipe TIME do LastPass é dedicada a proteger a nossa comunidade através do monitoramento, análise e mitigação de ameaças que possam afetar os nossos clientes, a nossa empresa e o nosso setor em geral. Somando as vivências de seus integrantes, a equipe conta com quase 50 anos de inteligência e experiência em cibersegurança e tem a convicção de que o compartilhamento de informações e a criação de relacionamentos são os segredos do sucesso de um programa de inteligência. No LastPass, temos o objetivo de oferecer inteligência oportuna e prática para stakeholders internos, permitindo que as nossas equipes de segurança protejam os nossos clientes, seus dados e a empresa em si. Além de conduzir análises e disponibilizar informações para as nossas equipes de segurança sobre o que está acontecendo no mundo das ameaças cibernéticas, também estamos trabalhando para automatizar nossos dados de inteligência nos processos dos nossos parceiros e minimizar o tempo entre a identificação de uma ameaça e as ações de mitigação.