O BlackShades Malware Ganhou Fama Devido à Guerra Civil na Síria
O BlackShades é um tipo de malware da Ferramenta de Administração Remota (RAT) que sequestra computadores que executam sistemas operacionais Windows e os coloca completamente sob controle externo. O BlackShades ganhou popularidade em 2012 durante a guerra civil na Síria, quando o governo sírio adicionou o BlackShades ao seu arsenal de armas na luta contra o Exército Sírio Livre de rebeldes, que se opôs ao Presidente Bashar al-Assad. Naquela época, os ataques eram realizados pelo Skype por meio de contas comprometidas, onde soldados do exército rebelde recebiam mensagens contendo BlackShades disfarçados como um arquivo PDF. Depois que os rebeldes baixaram o arquivo comprometido, o RAT começou a se espalhar em um efeito dominó, infectando todos os sistemas que poderia alcançar e levando-os completamente sob o controle do governo sírio.
Além dos ataques na Síria, o BlackShades RAT é baixado nos computadores das vítimas por meio de páginas maliciosas, dispositivos de armazenamento externo ou como um drive-by para outros programas.
Os RATs permitem que os invasores controlem um PC infectado de um local remoto, portanto, o BlackShades é uma ferramenta muito perigosa e poderosa. Também foi relatado que ele tem todas as funcionalidades de outra ameaça de malware semelhante chamada DarkComet. Criado em 2010 por um jovem hacker com experiência em jogos de computador e seu parceiro de negócios, o BlackShades evoluiu em apenas alguns anos, de uma simples arma DDoS a um poderoso programa de administração remota que pode facilmente escravizar milhares de computadores. Segundo o FBI, o BlackShades infectou mais de meio milhão de computadores e gerou US $350.000 em vendas durante seus anos mais ativos. Isso aconteceu devido ao fato de ser uma ferramenta barata, acessível e totalmente funcional que, ao mesmo tempo, pode ser operada por hackers de todos os níveis, desde amadores até grandes organizações cibercriminosas.
Os Sucessores do BlackShades Ainda estão no Mercado
Os desenvolvedores do BlackShades alegaram que o programa é um programa legal de vigilância de TI que tem o objetivo de ajudar as pessoas a espionar seus filhos, cônjuges ou seu próprio computador. Clientes em potencial podem comprar o programa no site oficial dos desenvolvedores a um preço de US $40. No entanto, o BlackShades também foi vendido pelo mesmo preço na infame comunidade de crimes cibernéticos chamada HackForums antes de seus criadores Michael Hogue e Alex Yucel serem presos em 2012 e 2013, respectivamente. Um ano depois, outros 90 usuários do BlackShades foram presos e, depois disso, os ataques RAT caíram para um terço do que costumavam ser.
Como a queda foi seguida por outra surpresa, não podemos assumir que o malware se tornou inativo. Além disso, ameaças semelhantes, provavelmente sucessoras do BlackShades, surgiram nos anos mais recentes. Em 2015, uma pessoa chamada Stefan Rigo foi considerada culpada por usar o BlackShades contra 14 pessoas, sete das quais ele conhecia pessoalmente. Em abril de 2019, um site focado no crime cibernético publicou algumas informações sugerindo que pelo menos um dos criadores do BlackShades ainda está no jogo. Uma extensa pesquisa on-line revela que um novo RAT muito semelhante ao BlackShades foi anunciado em fóruns de hackers subterrâneos desde meados de 2017. Por trás do WebMonitor, está uma empresa sueca chamada RevCode, enquanto certos registros indicam que o proprietário dessa empresa é Axel Yucel - um dos as pessoas que costumavam executar o BlackShades e que foram libertadas da prisão em 2016. Assim como o BlackShades, os criadores do WebMonitor afirmam que seu produto é uma ferramenta legal de vigilância de TI, mas o software é classificado como malware pelas empresas anti-vírus mais conceituadas. Há outro RAT chamado Luminosity que parece intimamente relacionado ao BlackShades, no entanto, qualquer link para os criadores do BlackShades ainda não foi relatado.
O BlackShades RAT Possui um Amplo Espectro de Funcionalidades Maliciosas
Dada a ampla gama de funcionalidades maliciosas do BlackShades RAT, não se pode presumir que seja seguro fazer o download e instalá-lo no seu computador. O malware pode registrar a atividade do usuário no PC infectado, roubar dados, ligar silenciosamente a webcam, instalar e desinstalar programas adicionais, registrar pressionamento de teclas, controlar o MSN Messenger, redirecionar ou bloquear URLs e muito mais. No entanto, esse RAT pode ser personalizado para executar não apenas tarefas de vigilância.
O BlackShades pode criar uma situação de ransomware no sistema atacado - ele pode ser configurado por seus operadores para seqüestrar arquivos por meio de um algoritmo simples de criptografia e exigir um resgate em troca de uma chave de descriptografia. Os proprietários do BlackShades podem usar a interface de configuração do RAT para personalizar o caminho de destino dos arquivos a serem criptografados, o tempo, a extensão que deve ser adicionada aos arquivos bloqueados, a nota de resgate e a chave de criptografia. Obviamente, a empresa por trás do BlackShades descarta toda a responsabilidade relacionada a esse recurso e a transfere para os compradores da ferramenta, forçando-os a confirmar que assumem toda a responsabilidade pelos resultados de suas ações.
O BlackShades também pode atuar como um Controlador do Facebook - um recurso através do qual os atacantes podem postar no mural da vítima no Facebook. Esta função está disponível desde que a vítima esteja devidamente conectada à sua conta do Facebook. Além disso, o BlackShades pode espalhar infecções por malware através de dispositivos USB. Para esse fim, o RAT coloca uma cópia da infecção executável em qualquer unidade USB atualmente conectada ao PC e cria um script de execução automática. Quando esse USB é conectado a outro computador, que não desabilitou o recurso Autorun, o binário malicioso executará o malware. Um recurso adicional do BlackShades é enviar uma mensagem instantânea com um link malicioso para todos os contatos da vítima.
O BlackShades também pode explorar as funcionalidades dos sites de torrent P2P para se espalhar. Nesse caso, os invasores podem usar clientes P2P como BitTorrent, LimeWire, uTorrent ou Azerus/Vuze para baixar um binário do BlackShades e armazenar, ou "propagá-lo", no computador da vítima. Outros usuários de torrent podem ser enganados a fazer o download do RAT se ele estiver disfarçado de música, software ou filme pirata. Outra funcionalidade que os desenvolvedores do BlackShades incluíram na interface do RAT é o mercado de Bot. Aqui, os usuários do BlackShades podem comprar e vender bots para outros usuários do RAT, expandindo assim a rede do malware. Além disso, a interface BlackShades permite que os operadores iniciem vários tipos de ataques DDoS.
Todas essas perigosas funcionalidades mencionadas até agora implicam que o BlackShades não é simplesmente uma ferramenta de administração de sistemas para uso pessoal - seus recursos o elevam ao nível de uma organização de crimes cibernéticos com um vasto alcance e enorme potencial de danos.
