Pesquisadores da Kaspersky compartilharam a descoberta de um novo tipo de malware operado por um grupo hacker em ascensão, o Armored Likho. Esse novo tipo de golpe mira agências governamentais e empresas do setor de energia elétrica em diversos países. O Brasil é um dos focos desses cibercriminosos, que também miram a Rússia e Cazaquistão.
O Armored Likho é um grupo relativamente novo, mas conhecido por outros nomes por conta de ataques anteriores. Diferente de outros golpes, essas tentativas de roubo de dados chamaram a atenção dos pesquisadores. Os ataques são metódicos e não usam softwares prontos, mas sim um malware modular e complexo: o BusySnake.
Nossos vídeos em destaque
Esse tipo de situação segue uma metodologia similar ao de outros golpes recentes. Os criminosos usam técnicas de phishing para se aproximar da vítima. Eles chegam por um email que imita comunicados oficiais do governo, ofertas de testes psicológicos e até pedidos de ajuda humanitária – um clássico dos golpes mais antigos.

No anexo do email, há um item compactado. Caso o usuário resolva realizar o download e extrair, encontrará um arquivo, que pode ser um link ou um aplicativo falso. Em todo caso, clicar nesse executável gera uma reação em cadeia que de pouco em pouco insere o BusySnake na máquina da vítima.
O BusySnake é um aplicativo malicioso muito bem construído. Esse malware tem capacidades absurdas, como roubar senhas e cookies de navegadores, emails e redes sociais. Ele também pode fazer a clonagem de arquivos do Telegram, sequestrar arquivos do sistema e até mesmo controlar o PC remotamente.
A picada da cobra
O BusySnake é um malware inédito, então o modo de operação desse vírus pode variar. O que realmente não deve mudar é como ele é entregue. Aquele esquema de phishing via email e arquivo compactado é o preferido do grupo Armored Likho, também conhecido como Eagle Werewolf.
Esse golpe tem algumas variações. O arquivo compactado pode conter um arquivo executável (.exe), que ao ser acionado, secretamente injeta um código malicioso nos processos do computador. No entanto, a pasta compactada também pode conter um arquivo de atalho (LNK), que usa os sistemas do PC para baixar o vírus de forma oculta.
Nos dois casos, o PC baixa o BusySnake através de um repositório do Github. Uma vez instalado, o malware será iniciado toda vez que o PC for ligado. O malware fica na pasta “appdata/WindowsHelper” e cria um processo que faz com que ele seja reiniciado a cada cinco minutos. Dessa forma, o vírus mantém um caráter de extrema persistência.

Um truque usado pelo Armored Likho é a inteligência artificial. O grupo usa a IA para gerar códigos e reescrevê-lo de diferentes maneiras. Como o código sempre muda, isso faz com que o malware fique ainda mais disfarçado para não ser detectado por mecanismos de segurança ou por pesquisadores.
Bote furtivo
Para além desse método do BusySnake, os pesquisadores descobriram um segundo modo de operação. Um deles é a execução direta na memória do sistema. O vírus executa seus códigos maliciosos na RAM e não em um componente de armazenamento padrão. Como os antivírus convencionais não procuram na RAM, o malware fica invisível.
A outra forma de evasão desse malware é usar comandos obscuros do sistema Windows, como o “Schedule.Service”. Em vias simples, isso faz com que o vírus passe ainda mais despercebido na máquina.
Como se proteger?
É de extrema importância nunca baixar arquivos anexados em emails de destinatários que você não conhece. Boa parte dos arquivos enviados são malwares ou atalhos para vírus, que eventualmente vão ser inseridos no seu computador secretamente.
Outro ponto de atenção é usar senhas fortes e sempre deixar a autenticação multifatorial ligada. Embora malwares como o do BusySnake consigam roubar essas credenciais com alguma facilidade, é sempre bom tentar dificultar a vida dos cibercriminosos ao adicionar uma camada extra de proteção.
Por falar em malwares, um novo golpe usa a verificação de CAPTCHAS para distribuir vírus que seguem o método do ClickFix, capaz de roubar senhas e desativar antivírus. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
)
)
)
)
)
)
)