Nestes últimos seis meses surgiram várias ameaças significativas, especialmente no campo de malwares financeiros para dispositivos Android. Estes incluem ameaças digitais bancárias "tradicionais" e os mais recentes cryptostealers, também conhecidos como ladrões de criptomoedas.
Uma novidade curiosa com este cenário é o GoldPickaxe, um novo malware que afeta dispositivos móveis capaz de roubar dados de reconhecimento facial para criar vídeos deepfake utilizados pelos operadores do malware para autenticar transações financeiras falsas. Armado com versões tanto para Android quanto iOS, esta ameaça tem visado vítimas no Sudeste Asiático através de aplicativos maliciosos localizados. Enquanto os pesquisadores da ESET investigavam esta família de malwares, descobriram uma versão anterior da ameaça para Android do GoldPickaxe, chamado GoldDiggerPlus, também se infiltrou na América Latina e na África do Sul ao atacar ativamente vítimas nessas regiões.
Adaptando-se aos tempos modernos, malwares de roubo de informações agora podem ser encontrados se passando por ferramentas de inteligência artificial (IA) generativa. No primeiro semestre de 2024, o Rilide Stealer foi visto usando os nomes de assistentes de IA generativa, como Sora da OpenAI e Gemini do Google, para atrair potenciais vítimas. Em outra campanha maliciosa, o infostealer Vidar estava oculto por trás de um suposto aplicativo de desktop para Windows do gerador de imagens de IA Midjourney - mesmo que o modelo de IA do Midjourney seja acessível apenas via Discord. Desde 2023, temos visto cada vez mais cibercriminosos explorando o tema de IA - uma tendência que se espera que continue.
Os entusiastas de jogos que se aventuram fora dos ecossistemas de jogos oficiais infelizmente descobriram que ameaças de infostealer também encontraram uma maneira de estragar seu passatempo favorito: alguns jogos de vídeo crackeados e ferramentas de trapaça usadas em jogos multiplayer on-line foram recentemente encontrados contendo malwares infostealer como Lumma Stealer e RedLine Stealer.
O RedLine Stealer viu várias elevações de detecção no primeiro semestre de 2024, causadas por campanhas isoladas na Espanha, Japão e Alemanha. Embora este "Infostealer-as-a-Service" tenha sofrido uma interrupção em 2023 e pareça não estar mais em desenvolvimento ativo, suas ondas recentes foram tão significativas que as detecções do RedLine Stealer no primeiro semestre de 2024 superaram em um terço as de H2 2023.
O Balada Injector, um grupo conhecido por explorar vulnerabilidades de plugins do WordPress, continuou agindo desenfreadamente na primeira metade de 2024, comprometendo mais de 20 mil sites e acumulando mais de 400 mil hits na telemetria da ESET para as variantes usadas na recente campanha do grupo.
No cenário de ransomware, o antigo líder LockBit foi derrubado de seu pedestal pela Operação Chronos, uma interrupção global realizada pelas autoridades em fevereiro de 2024. Embora a telemetria da ESET tenha registrado duas campanhas do LockBit no primeiro semestre de 2024, estas foram resultado de grupos criminosos não relacionados ao LockBit usando o gerador do LockBit.
A botnet Ebury, anteriormente examinado no white paper Operation Windigo de 2014 da ESET, continua sendo perigoso mesmo dez anos depois: uma pesquisa recente realizada pela ESET descobriu que esta ameaça comprometeu quase 400 mil servidores desde 2009. Embora o kit de ferramentas do Ebury já fosse substancial na época da pesquisa original, essas descobertas mais recentes revelaram funcionalidades expandidas da botnet, focando principalmente em métodos de monetização como roubo de criptomoedas e cartões de crédito.