As 5 principais ameaças de malware para se preparar em 2025
O ano de 2024 teve sua cota justa de ataques cibernéticos de alto perfil, com empresas tão grandes quanto Dell e TicketMaster sendo vítimas de violações de dados e outros comprometimentos de infraestrutura. Em 2025, essa tendência continuará.
Então, para estar preparado para qualquer tipo de ataque de malware, toda organização precisa conhecer seu inimigo cibernético com antecedência. Aqui estão 5 famílias comuns de malware que você pode começar a se preparar para combater agora mesmo.
Luma
Lumma é um malware amplamente disponível, projetado para roubar informações confidenciais. Ele tem sido vendido abertamente na Dark Web desde 2022. Este malware pode efetivamente coletar e exfiltrar dados de aplicativos direcionados, incluindo credenciais de login, informações financeiras e detalhes pessoais.
O Lumma é atualizado regularmente para aprimorar suas capacidades. Ele pode registrar informações detalhadas de sistemas comprometidos, como histórico de navegação e dados de carteira de criptomoedas. Ele pode ser usado para instalar outros softwares maliciosos em dispositivos infectados. Em 2024, o Lumma foi distribuído por vários métodos, incluindo páginas CAPTCHA falsas, torrents e e-mails de phishing direcionados.
Análise de um ataque Lumma
A análise proativa de arquivos e URLs suspeitos em um ambiente sandbox pode ajudar efetivamente a prevenir a infecção pelo Lumma.
Vamos ver como você pode fazer isso usando o sandbox baseado em nuvem do ANY.RUN . Ele não só fornece vereditos definitivos sobre malware e phishing junto com indicadores acionáveis, mas também permite interação em tempo real com a ameaça e o sistema.
Dê uma olhada nesta análise de um ataque Lumma.
ANY.RUN permite que você abra arquivos manualmente e inicie executáveis
Ele começa com um arquivo que contém um executável. Assim que iniciamos o arquivo .exe, o sandbox registra automaticamente todos os processos e atividades de rede, mostrando as ações da Lumma.
Suricata IDS nos informa sobre uma conexão maliciosa ao servidor C2 da Lumma
Ele se conecta ao seu servidor de comando e controle (C2).
Processo malicioso responsável por roubar dados do sistema
Em seguida, ele começa a coletar e extrair dados da máquina.
Você pode usar os IOCs extraídos pelo sandbox para aprimorar seus sistemas de detecção
Após concluir a análise, podemos exportar um relatório sobre esta amostra, apresentando todos os indicadores importantes de comprometimento (IOCs) e TTPs que podem ser usados para enriquecer as defesas contra possíveis ataques Lumma em sua organização.
X-Worm-Verme
XWorm é um programa malicioso que dá aos cibercriminosos controle remoto sobre computadores infectados. Aparecendo pela primeira vez em julho de 2022, ele pode coletar uma ampla gama de informações confidenciais, incluindo detalhes financeiros, histórico de navegação, senhas salvas e dados de carteira de criptomoedas.
O XWorm permite que os invasores monitorem as atividades das vítimas rastreando pressionamentos de tecla, capturando imagens de webcam, ouvindo entradas de áudio, escaneando conexões de rede e visualizando janelas abertas. Ele também pode acessar e manipular a área de transferência do computador, potencialmente roubando credenciais de carteira de criptomoeda.
Em 2024, o XWorm esteve envolvido em muitos ataques de larga escala, incluindo aqueles que exploraram túneis CloudFlare e certificados digitais legítimos.
Análise de um ataque XWorm
Os e-mails de phishing costumam ser o estágio inicial dos ataques XWorm
Neste ataque , podemos ver o e-mail de phishing original, que contém um link para um Google Drive.
Uma página do Google Drive com um link de download para um arquivo malicioso
Ao seguirmos o link, será oferecido o download de um arquivo protegido por senha.
Arquivo malicioso aberto com um arquivo .vbs
A senha pode ser encontrada no e-mail. Após digitá-la, podemos acessar um script .vbs dentro do arquivo .zip.
O XWorm usa o MSBuild.exe para persistir no sistema
Assim que iniciamos o script, o sandbox detecta instantaneamente atividades maliciosas, o que eventualmente leva à implantação do XWorm na máquina.
AsyncRAT
AsyncRAT é outro trojan de acesso remoto na lista. Visto pela primeira vez em 2019, ele foi inicialmente espalhado por e-mails de spam, frequentemente explorando a pandemia de COVID-19 como isca. Desde então, o malware ganhou popularidade e foi usado em vários ataques cibernéticos.
O AsyncRAT evoluiu ao longo do tempo para incluir uma ampla gama de capacidades maliciosas. Ele pode secretamente registrar a atividade da tela de uma vítima, registrar pressionamentos de tecla, instalar malware adicional, roubar arquivos, manter uma presença persistente em sistemas infectados, desabilitar software de segurança e lançar ataques que sobrecarregam sites alvos.
Em 2024, o AsyncRAT continuou sendo uma ameaça significativa, muitas vezes disfarçado como software pirateado. Foi também uma das primeiras famílias de malware a ser distribuída como parte de ataques complexos envolvendo scripts gerados por IA.
Análise de um ataque AsyncRAT
O arquivo inicial com um arquivo .exe
Nesta sessão de análise , podemos ver outro arquivo com um executável malicioso dentro.
Um processo do PowerShell usado para baixar uma carga útil
A detonação do arquivo inicia a cadeia de execução do XWorm, que envolve o uso de scripts do PowerShell para buscar arquivos adicionais necessários para facilitar a infecção.
ANY.RUN fornece um veredicto de ameaça junto com tags relevantes para contexto adicional
Quando a análise estiver concluída, o sandbox exibirá o veredito final sobre a amostra.
Remcos
Remcos é um malware que foi comercializado por seus criadores como uma ferramenta legítima de acesso remoto. Desde seu lançamento em 2019, ele tem sido usado em vários ataques para executar uma ampla gama de atividades maliciosas, incluindo roubo de informações confidenciais, controle remoto do sistema, gravação de pressionamentos de tecla, captura de atividade de tela, etc.
Em 2024, campanhas para distribuir Remcos usaram técnicas como ataques baseados em script, que geralmente começam com um VBScript que inicia um script do PowerShell para implantar o malware, e exploraram vulnerabilidades como CVE-2017-11882 aproveitando arquivos XML maliciosos.
Análise de um ataque Remcos
E-mail de phishing aberto no Sandbox interativo do ANY.RUN
Neste exemplo , recebemos outro e-mail de phishing que contém um anexo .zip e uma senha para ele.
Processo cmd usado durante a cadeia de infecção
A carga final aproveita o prompt de comando e os processos do sistema Windows para carregar e executar o Remcos.
A matriz MITRE ATT&CK fornece uma visão abrangente das técnicas de malware
O sandbox ANY.RUN mapeia toda a cadeia de ataque para a matriz MITRE ATT&CK para maior conveniência.
LockBit
O LockBit é um ransomware que tem como alvo principal dispositivos Windows. É considerado uma das maiores ameaças de ransomware, respondendo por uma parte substancial de todos os ataques de Ransomware-as-a-Service (RaaS). A natureza descentralizada do grupo LockBit permitiu que ele comprometesse inúmeras organizações de alto perfil em todo o mundo, incluindo o Royal Mail do Reino Unido e os National Aerospace Laboratories da Índia (em 2024).
As agências de aplicação da lei tomaram medidas para combater o grupo LockBit, levando à prisão de vários desenvolvedores e parceiros. Apesar desses esforços, o grupo continua operando, com planos de lançar uma nova versão, LockBit 4.0, em 2025.
Análise de um ataque LockBit
Ransomware LockBit lançado no ambiente seguro do sandbox ANY.RUN
Confira esta sessão sandbox , mostrando o quão rápido o LockBit infecta e criptografa arquivos em um sistema.
O Sandbox interativo do ANY.RUN permite que você veja a análise estática de cada arquivo modificado no sistema
Ao rastrear alterações no sistema de arquivos, podemos ver que ele modificou 300 arquivos em menos de um minuto.
Nota de resgate diz às vítimas para entrarem em contato com os agressores
O malware também envia uma nota de resgate, detalhando as instruções para recuperar os dados.
Melhore sua segurança proativa com o Sandbox interativo do ANY.RUN
Analisar ameaças cibernéticas proativamente em vez de reagir a elas quando se tornam um problema para sua organização é o melhor curso de ação que qualquer empresa pode tomar.
Simplifique com o sandbox interativo do ANY.RUN examinando todos os arquivos e URLs suspeitos dentro de um ambiente virtual seguro que ajuda você a identificar conteúdo malicioso com facilidade.
Com o sandbox ANY.RUN, sua empresa pode:
- Detectar e confirmar rapidamente arquivos e links prejudiciais durante verificações programadas.
- Investigar como o malware opera em um nível mais profundo para revelar suas táticas e estratégias.
- Responder a incidentes de segurança de forma mais eficaz coletando insights importantes sobre ameaças por meio de análise de sandbox.
Fonte e imagens: https://thehackernews.com/2025/01/top-5-malware-threats-to-prepare.html#analysis-of-a-remcos-attack
