Potao Express
O Potao Express é um grupo de hackers conhecido por duas ferramentas que eles desenvolveram - FakeTC e Potato. Esse grupo de hackers está ativo desde 2011, mas os pesquisadores de malware observam suas atividades de perto desde 2017.
Índice
FakeTC
O malware FakeTC é uma cópia fraudulenta da ferramenta legítima chamada 'TrueCrypt'. Os autores do malware FakeTC estão propagando-o usando um site russo. Os invasores escolhem apenas alguns usuários que eles visam, e somente esses alvos receberiam o malware FakeTC enquanto todos os outros usuários receberão o TrueCrypt, o aplicativo original. Dessa forma, é mais provável que os criadores do malware FakeTC permaneçam sob o radar de especialistas em segurança. A ameaça do FakeTC fornece aos atacantes informações sobre as vítimas. Os autores do malware FakeTC também podem executar outras tarefas no host infiltrado. O malware do FakeTC é implantado como uma carga útil de primeiro estágio tradicionalmente.
Potao
A ameaça Potao é um Trojan de backdoor que permite que os atacantes plantem malware adicional na máquina comprometida. Isso pode ser alcançado através da execução de arquivos que já estão presentes no sistema ou do download e execução de arquivos da Web. As cópias do Potao tendem a ser entregues pela ameaça do FakeTC.
Pouca Coisa Mudou Desde 2011
Uma das primeiras ferramentas usadas pelo grupo de hackers Potao Express é o malware Potao, que faz parte de seu arsenal desde 2011. O grupo Potao Express tende a concentrar seus esforços em alvos em ex-países soviéticos - Ucrânia, Rússia, Bielorrússia e Geórgia. No entanto, o grupo de hackers Potao Express parece ter como alvo empresas de mídia e corpos militares localizados na Ucrânia, principalmente. Os indivíduos por trás do grupo Potao Express também têm como alvo uma organização chamada MMM, que administra um esquema de Ponzi na Rússia e na Ucrânia. É sabido que o grupo de hackers Potao Express usou mensagens SMS falsas com um link corrompido. O link estava disfarçado como um site de rastreamento de entrega. No entanto, este não é o único vetor de infecção empregado pelo grupo de hackers Potao, pois eles tendem a alterar seus métodos de propagação regularmente.
O grupo Potao Express está em operação há pelo menos oito anos, mas suas campanhas são muito distantes para os pesquisadores de malware entenderem melhor os indivíduos por trás das campanhas. Há especulações de que o grupo de hackers Potao Express é originário da Rússia, mas não há evidências suficientes para apoiar essa alegação. O grupo Potao Express não está entre os grupos de hackers mais sofisticados, mas ainda é capaz de causar bastante dano aos seus alvos.
