O Ovidiy Stealer é um Malware Barato para os Hackers que Desejam Roubar Credenciais de Login

O que você pode fazer se tiver cerca de US $7 para gastar? Você pode comprar um fatiador de maçã útil. Como alternativa, você pode tratar-se de algum papel higiênico de novidade (se você acha que o papel higiênico de 'novidade' é ou deve ser uma coisa, isso é). Mas e se você quiser ser um hacker de chapéu preto super bacana, mas não tiver as habilidades técnicas e não tiver mais do que US $ 7 para gastar? Bem, você está com sorte, porque o ladrão de credenciais Ovidiy é vendido em um site russo por entre 450 e 750 rublos russos (entre US $7,60 e US $12,70 nas taxas atuais).

Infelizmente, o malware vendido a hackers por apenas US $ 7 não é uma piada. O malware é realmente vendido por amendoim e, como mostra a pesquisa da Proofpoint, ele pode realmente roubar nomes de usuário e senhas.

O teorema "você recebe pelo que paga" sugere que o Ovidiy não deve ser a família de malware mais sofisticada do mercado e, de fato, não é. O malware está escrito em .NET e, embora a maioria das amostras esteja repleta de .NET Reactor ou Confuser, um número significativo dos produtos de segurança mais populares não tem problemas para detectá-lo.

Os especialistas observaram que as cargas úteis são distribuídas principalmente em formato executável e chegam como anexos ou como links em emails de spam. Às vezes, o ladrão é disfarçado de ferramentas de cracking que permitem que as pessoas usem software pago de graça e, em outros casos, finge ser uma carteira LiteBitcoin. Os pesquisadores da Proofpoint também o viram com outros malwares.

Não há nada muito avançado nos métodos de distribuição, e o mesmo pode ser dito sobre a funcionalidade do malware. Não existem mecanismos de persistência, o que significa que, após uma reinicialização, o Ovidiy não será executado, a menos que a vítima o inicie manualmente. A quantidade de informações que podem ser roubadas também é um pouco limitada.

Lista de programas que o Ovidiy verifica e rouba credenciais de login:

• Amigo browser
• FileZilla
• Google Chrome
• Kometa browser
• Opera
• Orbitum browser
• Torch browser

Como você pode ver, o Internet Explorer, Edge e Firefox, três dos navegadores mais populares do mundo, estão ausentes da lista por algum motivo. Dito isto, se você usar um dos programas na lista acima, e muitas pessoas o fizerem, poderá ter suas credenciais de login comprometidas.

Apesar dos preços mais baixos, Ovidiy fornece aos possíveis criminosos cibernéticos algumas opções úteis. Os bandidos podem, por exemplo, decidir que desejam coletar nomes de usuário e senhas apenas do Chrome e desativar os módulos para o restante dos programas. Isso diminui o tamanho da carga útil e dificulta a identificação.

Há outras surpresas. Os autores do malware decidiram comercializar seu ladrão de senhas através de um site chamado ovidiystealer[.]ru, e deve-se dizer que tudo parece bastante profissional. Há depoimentos e informações sobre as próximas atualizações e, uma vez que as pessoas compram o malware, elas podem obter suporte e estatísticas de um painel bem projetado. Os pagamentos são processados através do RoboKassa, o equivalente russo do PayPal, o que significa que a tarefa indutora de dor de cabeça na compra de Bitcoins é ignorada. Em suma, os autores fizeram algum esforço para fazer seus clientes se sentirem bem.

Felizmente, no entanto, no momento, nem os autores nem seus clientes se sentem bem. Depois que a Proofpoint publicou sua pesquisa, o site ovidiystealer[.]ru foi retirado do ar. O mesmo domínio atua como um servidor de Comando e Controle (C&C) nas amostras analisadas pelo Proofpoint, o que significa que as pessoas que o implantaram no último mês ou mais não têm mais acesso aos dados roubados.

A operação está interrompida por enquanto, mas há pouco para impedir que os autores do malware configurem outro servidor/site promocional da C&C e vendam o malware novamente. Se eles decidirem abandonar o projeto, isso servirá como um bom lembrete de como é fácil cometer crimes cibernéticos nos dias de hoje.