Os fóruns hackers estão divulgando o código-fonte de um programa baseado em Rust para roubar informações dos usuários. O código-fonte de um malware de roubo de informações codificado em Rust foi lançado gratuitamente em fóruns de hackers, com analistas de segurança já relatando que o malware é usado ativamente em ataques.
O malware, que o autor afirma ter desenvolvido em apenas seis horas, é bastante furtivo, com o VirusTotal retornando uma taxa de detecção de cerca de 22%.
Como o ladrão de informações é escrito em Rust, uma linguagem multiplataforma, ele permite que os agentes de ameaças atinjam vários sistemas operacionais. No entanto, em sua forma atual, o novo ladrão de informações tem como alvo apenas os sistemas operacionais Windows.
Recursos de malware
Analistas da empresa de segurança cibernética Cyble, que testaram o novo ladrão de informações e o chamaram de “Luca Stealer”, relatam que o malware vem com recursos padrão para esse tipo de malware.
Quando executado, o malware tenta roubar dados de trinta navegadores da Web baseados em Chromium, onde roubará cartões de crédito armazenados, credenciais de login e cookies.
O ladrão também tem como alvo uma variedade de complementos de navegador de carteira “frio” e “quente”, contas Steam, tokens Discord, Ubisoft Play e muito mais.
O Luca Stealer se destaca em relação a outros ladrões de informações em relação aos complementos do navegador do gerenciador de senhas. Assim, rouba os dados armazenados localmente para 17 aplicativos desse tipo.
Código-fonte de programa baseado em Rust para roubar informações está em fóruns de hackers
Além de direcionar os aplicativos, o Luca também faz capturas de tela e as salva como um arquivo .png, e executa um “whoami” para criar o perfil do sistema host e enviar os detalhes para seus operadores.
Um recurso importante normalmente encontrado em outros ladrões de informações, mas não disponível no Luca, é um clipper usado para modificar o conteúdo da área de transferência para sequestrar transações de criptomoeda.
A exfiltração dos dados roubados é feita por meio de webhooks Discord ou bots do Telegram, dependendo se o arquivo exfiltrado está acima de 50 MB ou não. O malware usará um webhook Discord para enviar os dados de volta aos invasores para logs maiores de dados roubados.
Os dados roubados são empacotados em um arquivo ZIP acompanhado de um resumo do que está incluído, para que o operador possa avaliar a extensão do saque em um único olhar.
Devemos nos preocupar?
A Cyble relata que viu pelo menos 25 instâncias do Luca Stealer usadas em estado selvagem, portanto, embora alguns cibercriminosos tenham aceitado a oferta gratuita, não se sabe se esse novo malware será implantado em massa.
No entanto, o fato de ser oferecido gratuitamente com código-fonte, enquanto a maioria dos ladrões de informações são vendidos a um custo de assinatura mensal, pode ser um driver, mas Luca não é o único a ser distribuído gratuitamente.
Por fim, Luca é escrito em Rust, o que significa que a portabilidade para Linux ou macOS não é complicada, então o autor original ou outra pessoa pode realizar essa conversão no futuro.