Pesquisadores da firma de segurança cibernética F-Secure descobriram um malware chamado de Qarallax (QRAT), um cavalo de Troia de acesso remoto (RAT), sendo distribuído pelo Skype. Os golpistas, que se apresentam como pessoal do governo oferecendo orientação para pedidos de visto para os EUA, estão atualmente visando cidadãos suíços e possivelmente outros viajantes pelo mundo.
De acordo com o relatório da F-Secure e uma amostra fornecida pelo consultor de segurança Hamid Kashfi, as vítimas receberam um arquivo chamado US Travel Docs Information.jar, uma aplicação que pode executar sistemas operacionais instalados com o Java Runtime Environment. O QRAT tem recursos de extração e espionagem como captura de teclas digitadas, cliques do mouse e movimentos do cursor, além da habilidade de operar remotamente a câmera da máquina para fazer capturas de tela ou gravar vídeos.
Frederic Vila, da F-Secure divulgou que o arquivo Java malicioso é baixado do domínio QARALLAX, enquanto seu endereço IP também é usado como servidor de comando e controle (C&C). Vila observou que há outras aplicações hospedadas no C&C, uma das quais é uma versão renomeada do LaZagne, uma ferramenta de código aberto usada para recuperar senhas armazenadas em dispositivos locais, como credencias de WiFi, navegadores, aplicações de chat, base de dados e programas de email. O LaZagne atualmente funciona em 22 programas Microsoft Windows e 12 dos sistemas operacionais executando Linux/Unix.
Como outros RATs como o Lost Door, BlackShades, Dendroid e RCSAndroid, o QRAT também opera em um modelo de negócios malware-como-um-serviço, alugando o cavalo de Troia para outros cibercriminosos. O preço varia de $22 a $900 dólares, dependendo da duração do aluguel do malware. O “período de aluguel” vai de cinco dias a um ano completo.
Como esse QRAT está sendo alugado, os atores da ameaça ainda são desconhecidos – o endereço IP está registrado na Holanda, mas o domínio tem uma história WHOIS ligando-o a Turquia.
Não é a primeira vez que o Skype é usado como plataforma para enviar malwares para usuários e empresas desavisadas. Três anos atrás, o Skype e outras aplicações de MI similares foram usados como vetor para distribuir o Liftoh (detectado pela Trend Micro como BKDR_LIFTOH.DBT). Os usuários receberam links maliciosos como se fosse uma imagem de alguém da lista de contato do usuário. Se ele clicasse, era redirecionado para um site que baixa um arquivo .ZIP contendo o malware. O cavalo de Troia Shylock, bancário e ladrão de informações (detectado pela Trend Micro como WORM_BUBLIK.GX) também era distribuído desse modo.
Em junho de 2015, a empresa de gerenciamento de comportamento de segurança, PhishMe, ajudou a interromper uma campanha que utilizava o Skype para distribuir malware. A campanha foi citada como parte de um programa afiliado, no qual os agressores são pagos por cada instalação bem-sucedida do adware.
Em um relatório da firma de segurança Palo Alto Networks, publicado em 4 de fevereiro último, os pesquisadores Josh Grunzweig e Jen Miller-Osborn descobriram um cavalo de Troia backdoor, disfarçado como um arquivo RTF (Rich Text Format) carregado com um exploit, que grava e faz capturas de tela de todos os tipos da atividade do Skype – tudo isso evitando a detecção de 24 produtos de segurança. Seus principais alvos foram empresas dos EUA.
As vítimas que receberam o QRAT notaram que a conta de Skype que enviava o arquivo Java malicioso, tinha erros de ortografia – a conta oficial do Skype é “ustraveldocs-switzerland”, enquanto a falsa usada pelos golpistas é “ustravelidocs- Switzerland” (a última tinha um “i” e um espaço a mais).
Além disso, a pesquisa do “ustravelidocs” no Skype de Vila revelou que os cibercriminosos podem ter tentado visar 20 outros países: Bulgária, China, Camboja, República Dominicana, Finlândia, Alemanha, Hungria, Indonésia, Cazaquistão, Kuwait, Laos, Marrocos, Omã, Paquistão, Filipinas, Arábia Saudita, Cingapura, Taiwan, Tailândia e Vietnã.
Vila aconselhou, “se você está procurando informações sobre vistos de viagem, você precisa verificar duas vezes o Skype e o documento que você recebeu. Esteja ciente de que “l” minúsculo pode ser confundido com o “I” maiúsculo ou com o número um (1); ou o “O” maiúsculo com o zero (0). Há muitas maneiras das pessoas se tornarem vítimas, mas com um exame minucioso isso pode ser evitado”.