No habitual jogo de forças entre defensores e adversários, na segunda metade de 2024 vimos os cibercriminosos encontrando brechas de segurança e formas inovadoras de expandir seu grupo de vítimas. Como resultado, surgiram novos vetores de ataque e métodos de engenharia social, além de novas ameaças detectadas em nossa telemetria e operações de desmantelamento que provocaram mudanças nas fileiras de grupos criminosos estabelecidos.

Os infostealers são uma das categorias de ameaças que passaram por uma reorganização, já que o malware Agent Tesla, dominante por muito tempo, foi destronado pelo Formbook, uma ameaça bem estabelecida, projetada para roubar uma ampla variedade de dados sensíveis. Apesar de existir há quase uma década, o Formbook continua atraindo uma ampla base de usuários criminosos graças ao seu modelo de malware como serviço (MaaS) e ao seu desenvolvimento contínuo.

O Lumma Stealer, um MaaS que emergiu no cenário dos infostealers, está se tornando cada vez mais procurado por cibercriminosos, aparecendo em várias campanhas maliciosas relevantes no segundo semestre de 2024. A telemetria da ESET registrou um aumento de quase 400% em suas detecções entre os períodos de relatório. O RedLine Stealer, outro conhecido "infostealer como serviço", teve um destino muito diferente: após ser desmantelado por autoridades internacionais em outubro de 2024, o RedLine Stealer parece ter chegado ao fim de sua vida. No entanto, é provável que seu desaparecimento impulsione a expansão de outras ameaças semelhantes, ávidas por ocupar seu lugar.

Como era de se esperar, com as criptomoedas atingindo valores recordes no segundo semestre de 2024, os dados de carteiras desses ativos digitais foram um dos principais alvos de cibercriminosos. Em nossa telemetria, isso se refletiu em um aumento nas detecções de roubos de criptomoedas em várias plataformas. Curiosamente, o aumento foi mais drástico no macOS, onde o chamado Password Stealing Ware (programa de roubo de senhas), voltado principalmente para dados de login de carteiras de criptomoedas, dobrou em comparação com o primeiro semestre. Além disso, as ameaças financeiras no Android, direcionadas tanto a aplicativos bancários quanto a carteiras de criptomoedas, aumentaram 20%.

Tanto os usuários de Android quanto os de iOS devem estar atentos a um novo vetor de ataque, detectado e analisado pela equipe de pesquisa da ESET no segundo semestre de 2024. Os cibercriminosos aproveitaram as tecnologias Progressive Web App (PWA) e WebAPK para contornar as medidas de segurança tradicionais associadas a aplicativos para dispositivos mobile. Como nem as PWA nem as WebAPK exigem que os usuários concedam permissões explícitas para instalar aplicativos de fontes desconhecidas, os usuários de dispositivos móveis podem acabar instalando, sem querer, aplicativos maliciosos que roubam credenciais bancárias. E, a menos que haja uma mudança na forma como as plataformas móveis lidam com essas tecnologias, prevemos que surjam campanhas de phishing mais sofisticadas e variadas utilizando PWA e WebAPK.

Em relação às redes sociais, podemos dizer que elas se tornaram mais problemáticas, com uma avalanche de novas fraudes que utilizam vídeos deepfake e publicações que simulam ser de empresas conhecidas para atrair vítimas para esquemas de investimento falsos. Esses golpes, rastreados pela ESET como HTML/Nomani, registraram um aumento de 335% nas detecções entre os períodos de relatório, e não esperamos que o seu crescimento desacelere.

O segundo semestre de 2024 também trouxe à tona uma nova fraude direcionada aos usuários de serviços populares de reservas de hospedagem, como Booking.com e Airbnb. Os golpistas, utilizando um conjunto de ferramentas chamado Telekopye - originalmente criado para enganar pessoas em mercados online -, recorrem a contas comprometidas de fornecedores legítimos de hospedagem para identificar os usuários que realizaram reservas recentemente e, em seguida, enviam páginas de pagamento falsas.

O panorama do ransomware foi remodelado com o desmantelamento do LockBit, o que criou um vácuo preenchido por outros cibercriminosos. O RansomHub, um ransomware como serviço detectado pela primeira vez no primeiro semestre de 2024, acumulou centenas de vítimas no final do segundo semestre de 2024, estabelecendo-se como o novo protagonista dominante.

Leia o relatório completo: