A Operação do Malware Dreambot fica Silenciosa, Encerrando as Atividades Maliciosas desse Botnet
O malware Dreambot, que é uma ameaça de botnet, parece estar se encerrado neste momento, de acordo com um relatório do CSIS Security Group, uma empresa de segurança cibernética sediada na Dinamarca. A empresa informou que os servidores back-end do Dreambot estavam inativos em março. Foi na mesma época em que a comunidade parou de ver novas amostras do Dreambot sendo distribuídas.
Benoit Ancel, analista de malware do CSIS Security Group, mencionou que não tem certeza da 'causa da morte' do botnet. As possíveis causas listadas incluem a falta de novos recursos, a multiplicação de novas variantes do Gozi ou a própria pandemia.
As Atividades do Dreambot Começaram em 2014
O suposto desaparecimento do malware põe fim a um reinado de seis anos no cenário do crime cibernético. O Dreambot foi notado pela primeira vez em 2014, tendo sido elaborado a partir do código-fonte vazado do Trojan bancário Gozi ISFB. Assim como outros Trojans baseados no Gozi, o Dreambot visa injetar conteúdo malicioso nos navegadores, roubando credenciais bancárias e executando transações não autorizadas. As primeiras versões tinham poucos recursos, mas logo o malware evoluiu para uma ameaça sofisticada.
Com o tempo, o Dreambot ganhou novos recursos, incluindo servidores de Comando e Controle hospedados pelo Tor, a capacidade de roubar cookies e enviar dados de clientes de e-mail, registro de chaves, captura de tela, um recurso de acesso remoto VNC e um módulo de bootkit entre outros. O Dreambot evoluiu de um botnet de propriedade privada para se tornar um modelo de cibercrime como serviço.
Quando essa nova abordagem foi adotada, os criadores do Dreambot estavam anunciando o seu acesso ao botnet em fóruns de malware e hackers. Outros criminosos conseguiram comprar uma parte da infraestrutura do Dreambot e uma versão do malware, o que possibilitou a sua distribuição às vítimas. As pessoas que comprassem o serviço teriam a chance de infectar vítimas, roubar dinheiro e, ao mesmo tempo, pagar aos criadores do Dreambot uma taxa de assinatura.
Havia Mais de um Milhão de Infecções em 2019
O CSIS mencionou que esse modelo parecia funcionar para as pessoas por trás do Dreambot, uma vez que as infecções estavam crescendo em 2019. O CSIS também viu que, nos últimos anos, o Dreambot estava evoluindo além das suas origens como um Trojans bancário. Ele passou a ser um Trojan de uso geral, em vez de visar especificamente os bancos. Os criminosos alugariam Dreambot, mas não para roubar dinheiro de contas bancárias.
O que eles fariam seria infectar um grande número de computadores e depois inspecioná-los em busca de um alvo específico entre os infectados. O CSIS mencionou ter visto criminosos usando o Dreambot para infectar sistemas e procurar computadores com software de ponto de venda. Eles também estavam usando o ransomware para infectar redes corporativas, bem como para fraudes do BEC e encomendar mercadorias de contas invadidas em sites como o Amazon e o eBay.
A evolução do Dreambot para um carregador de malware genérico é algo que aconteceu com outras ameaças como o Emotet, o Dridex e o Trickbot. Eles eram Trojans bancários que eventualmente evoluíram para serviços alugados para acessar computadores invadidos. Os operadores do Dreambot ainda não foram identificados e permanecem por aí. As chances são de que possa haver um ressurgimento do malware em um futuro próximo, caso eles decidam agir.