Hackers Construirão Cada Vez Mais Campanhas de Malware em Serviços de Infraestrutura Legítimos

Nota do Lionel: Bem-vindos ao terceiro post da nossa série Future Insights 2025. Este artigo da equipe de pesquisa X-Labs analisa o aumento das campanhas de malware construídas sobre serviços legítimos de infraestrutura. Clique aqui para ler os posts anteriores da série.

###

Ao longo de 2024, enquanto continuávamos monitorando as atividades em torno das campanhas de malware e phishing mais recentes, a equipe X-Labs notou uma tendência: os hackers estão se afastando do uso de sites comprometidos para hospedar malware e, em vez disso, estão construindo campanhas de malware em serviços legítimos de infraestrutura. Com base em nossos dados, esperamos que essa tendência acelere em 2025 e além.

Exemplos de Campanhas de Malware

Vejamos o caso do blogspot.com, o serviço gratuito de domínios do Google que fornece um subdomínio para o Blogger. Foi lá que encontramos autores de malware Agent Tesla hospedando cargas de estágio. Em julho, observamos uma onda de atividades em que hackers utilizaram o Trycloudflare.com e Python para implantar o malware AsyncRAT. A atividade Remcos RAT, sobre a qual escrevemos em junho, também aproveitou o Trycloudflare.com. Hackers usaram o TryCloudflare para campanhas com XWorm e outros malwares. A campanha de malware Snakekeylogger usou o Discord CDN como uma rede de distribuição pública para hospedar arquivos maliciosos.
 

Os hackers também exploraram fortemente o Secureserver.net para atividades de malware. Foi a origem de uma campanha de malware sobre a qual publicamos que teve como alvo principal instituições financeiras na América Latina. Outros malwares, como Grandoreiro e NetSupport RAT, também utilizaram o domínio Secureserver.net. Para dar uma ideia da escala, a Forcepoint interceptou mais de 3,7 milhões de e-mails suspeitos contendo URLs do Secureserver.net apenas nos últimos meses.
 

No caso de Remcos e Agent Tesla, encontramos exemplos de ambos os malwares utilizando serviços gratuitos para hospedar imagens de esteganografia ou outros downloads de estágio:

• uploaddeimagens.com.br  
• archive.org
• raw.githubusercontent.com

Para exfiltração de dados e comunicação de comando e controle, várias campanhas de malware utilizaram os seguintes serviços legítimos:

1 – Serviços de DNS Dinâmico 

Hackers usam esses serviços para alterar endereços IP na tentativa de evitar detecção.

• freeddns.noip.com (servequake.com)
• freeddns.dynu.com
• duckdns.org

2 – API de Bots do Telegram

A API de Bots do Telegram permite que atores mal-intencionados criem bots para interagir com usuários na plataforma Telegram.

• api.telegram.org/bot

3 – Serviços de Armazenamento de Arquivos de Pequeno Porte

Armazenar arquivos em serviços de armazenamento gratuito bem conhecidos torna mais difícil rastrear atividades maliciosas.

• qu.ax
• store2.gofile.io/download

4 – Serviços de Encaminhamento de Porta

Armazenar arquivos em vários locais remotos conhecidos dificulta o rastreamento de atividades maliciosas em andamento.

• ply.gg
• portmap.host

Para ter uma ideia da escala da mudança dos hackers para serviços legítimos, analisamos a atividade de ameaças observada nos 50 principais serviços de hospedagem de sites. Esta lista apresentou alguns dos principais players, como Windows.net, Wordpress.com, Bluehost, Wix, Firebase do Google, entre outros. O gráfico a seguir mostra as plataformas de hospedagem de sites com riscos de segurança em subdomínios:

Serviços Legítimos Usados em Campanhas de Phishing

Focando agora em phishing, observamos campanhas onde hackers utilizam vários serviços da Cloudflare: Pages para implementar páginas estáticas, aproveitando Workers para implantar código sem servidor em múltiplos locais globais potenciais. Além disso, atores mal-intencionados também usam o CDN da Cloudflare para acelerar a entrega de aplicativos SaaS em qualquer lugar do mundo.

Identificamos níveis significativos de atividade no domínio Windows.net, onde hackers exploram o Azure Blob Storage para hospedar e servir conteúdo da web, arquivos e aplicativos estáticos. Os atacantes aproveitam-se disso para hospedar páginas de phishing, malware ou golpes de suporte técnico em subdomínios como web.core.windows.net ou azurewebsites.net, dando uma aparência de credibilidade ao conteúdo malicioso, já que ele é associado à infraestrutura confiável da Microsoft.

Hackers também contam com serviços de código aberto como IPFS (InterPlanetary File System). Sua natureza descentralizada torna difícil derrubar páginas web, arquivos ou aplicativos, pois estes estão distribuídos em vários servidores. Os métodos tradicionais de retirada de conteúdo, como contatar o provedor de hospedagem, são ineficazes com o IPFS, pois o conteúdo é distribuído entre diversos nós.

Para evadir detecção e bloqueio, os atacantes usam URLs rotativas hospedadas em plataformas como AWS ou Azure.
 

Hackers Pensando como Profissionais de Marketing Digital

Para campanhas de phishing, atacantes adotam técnicas de marketing digital, como o SEO poisoning. Eles utilizam palavras-chave populares ou em alta nos conteúdos de seus sites maliciosos para enganar os mecanismos de busca e garantir um melhor ranqueamento. Essas palavras-chave geralmente se relacionam a eventos atuais, software popular ou preocupações com segurança (por exemplo, "antivírus gratuito," "Google Authenticator" etc.).

Além disso, hackers recorrem ao Google Ads para promover suas páginas falsas. Em alguns casos, eles imitam produtos do Google, como o Google Authenticator ou Google Maps, e usam o Looker Studio do Google para criar páginas falsas, com imagens que lembram o que os usuários esperam ver na página de busca do Google, enganando-os a interagir com o site falso. Para atrair vítimas, eles promovem essas páginas por meio de anúncios.

Categorias de Malware para 2025

Comparamos as diferentes categorias de malware detectadas através de nossas assinaturas em tempo real nos últimos meses para identificar tendências para 2025. No gráfico a seguir, o número de sites maliciosos quadruplicou de menos de 100.000 no primeiro trimestre de 2024 para quase 500.000 no final do terceiro trimestre. Esperamos que essa tendência continue. Phishing e golpes representaram o segundo maior volume, crescendo de cerca de 125.000 instâncias no primeiro trimestre para quase 400.000 até o final do terceiro trimestre de 2024. Em comparação, esperamos que a categoria de sites comprometidos continue atrás dessas categorias líderes de malware.

Decidimos analisar mais de perto quais setores estão mais expostos a websites maliciosos, a categoria de malware mais prevalente. O gráfico abaixo destaca tendências de diversos setores sob risco devido a sites maliciosos. O setor de Negócios e Economia foi o mais impactado por volume ao longo do último ano. No entanto, espera-se que a área de Dados e Serviços Financeiros supere essa marca, pois as empresas de serviços financeiros continuam sendo alvo em uma taxa crescente do primeiro ao terceiro trimestre de 2024.

Além disso, analisamos quais setores estavam mais em risco devido a phishing e golpes, a segunda categoria de malware mais comum. Como esperado, o setor de Negócios e Economia é o mais exposto, com uma trajetória de aumento notável do primeiro ao segundo trimestre de 2024 e, em menor grau, do segundo para o terceiro trimestre de 2024. O setor de Tecnologia da Informação é o segundo mais vulnerável, embora fique bem atrás da categoria líder. Veja o gráfico abaixo:

Como a IA se Encaixa no Cenário de Malwares

Assim como muitos de nós, hackers continuam a explorar a IA em suas campanhas. Eles a utilizam para criar elementos de uma campanha—de redigir textos convincentes para websites falsos a criar e-mails persuasivos, até tentativas de phishing bem estruturadas via SMS ou mesmo ataques de phishing de voz sofisticados. A IA pode gerar documentos convincentes, como faturas, detalhes de emprego ou itens de referência que carregam malware. Ou podem usar chatbots para engajar potenciais vítimas em conversas em tempo real, tentando persuadi-las a compartilhar informações sensíveis. Da mesma forma, Large Language Models (LLMs) podem gerar respostas contextuais, respondendo rapidamente a uma vítima que responde a um e-mail de phishing, por exemplo. Nessas situações, a interação em tempo real pode aumentar significativamente a credibilidade de um ataque.

A outra realidade é que a IA torna a tecnologia mais acessível a uma nova geração de hackers. Com a ajuda da IA, um jovem pode criar muitos dos elementos de uma campanha de malware usando serviços legítimos como infraestrutura para hospedar e implantar tudo. Com todos esses fatores, é bem possível que o termo "script kiddies" ceda espaço a "malware kiddies" ou "phishing kiddies." Isso só o tempo dirá.