This post is also available in: Português
O Cyble Research Labs descobriu uma nova ameaça que visa roubo de informações. O malware, chamado de Lightning Stealer, é mais uma opção para os cibercriminosos obterem acesso inicial as redes corporativas.
Segundo o Cyble, o Lightning Stealer foi desenvolvido em .NET e é capaz de atingir mais de 30 navegadores baseados no Firefox e Chromium.
Os dados roubados desses navegadores incluem senhas, cookies e histórico de usuários. O malware também é capaz de obter tokens Discord, bem como dados de carteiras de criptomoedas, Telegram e Steam.
O malware também exfiltra os arquivos .txt e .doc presentes na pasta ‘Desktop’ no sistema da vítima.
Ao contrário de outros malwares, o Lightning Stealer armazena todos os dados obtidos no formato JSON (formato aberto usado como alternativa ao XML para a transferência de dados estruturados entre um servidor de Web e uma aplicação Web).
Os dados confidenciais do usuário armazenados em navegadores baseados no Chrome estão presentes de forma criptografada. O malware estima e obtém os nomes de todos os arquivos presentes na pasta ‘Browser-name\User Data\”. Mais tarde, ele verifica o arquivo ‘Local State’ que armazena as chaves criptografadas para o Chrome descriptografar os dados de login.
Além disso, o Lightning Stealer só coleta dados de carteiras de criptomoedas associadas ao GetZcash. O malware então converte o conteúdo do arquivo da carteira em Base 64 e os salva em uma lista.
Boas práticas de segurança
Os pesquisadores indicam que o Lightning Stealer é um malware emergente que provavelmente evoluirá no futuro. Como as informações obtidas por ele são confidenciais, as organizações devem seguir as boas práticas de segurança para impedir esses ataques.
- Evitar baixar software pirata de sites warez/torrente. A “ferramenta hack” presente em sites como YouTube, sites de torrent, etc., contém principalmente esse tipo de malware;
- Usar senhas fortes e impor a autenticação multifator sempre que possível;
- Ativar o recurso de atualização automática de software em todos os dispositivos conectados;
- Usar um pacote de software antivírus;
- Usar um pacote de software antivírus e de segurança de internet bem conceituados nos dispositivos conectados, incluindo PC, laptop e celular;
- Evitar abrir links não confiáveis e anexos de e-mail sem primeiro verificar sua autenticidade;
- Educar os funcionários para se protegerem de ameaças como phishing/URLs não confiáveis;
- Bloquear URLs que possam ser usadas para espalhar o malware, por exemplo, Torrent/Warez;
- Monitorar o beacon no nível da rede para bloquear a exfiltração de dados por malware ou TAs;
- Habilitar solução Data Loss Prevention (DLP).
Fonte: Cyble.
This post is also available in: Português