Mesmo pessoas que viveram há milhares de anos já sabiam que “conhecimento é poder”, e, em meio ao rápido avanço da era digital, com suas ameaças e defesas cibernéticas, essa sabedoria antiga nunca foi tão verdadeira.
Um exemplo emblemático é a recente pesquisa da ESET sobre o grupo APT alinhado à China, PlushDaemon, apresentada pelo pesquisador de malware da ESET, Facundo Muñoz, na conferência JSAC 2025. A pesquisa mostra como diversos usuários, em busca de proteção por meio de um serviço legítimo de VPN sul-coreano, acabaram tentando instalar um software VPN que, na verdade, estava trojanizado e continha um spyware.
A proteção de endpoint da ESET bloqueou o malware, mas quem também contava com o ESET Threat Intelligence — e seus diversos feeds de dados — teve acesso a uma ferramenta ainda mais poderosa: o conhecimento. Conhecimento sobre a nova ameaça, a URL comprometida (ainda que legítima) e os Indicadores de Comprometimento (IoCs). Com essas informações, os usuários puderam evitar a ameaça e reforçar suas defesas contra as ferramentas usadas pelo PlushDaemon.
PlushDaemon
Em maio de 2024, os pesquisadores da ESET identificaram códigos maliciosos em um instalador NSIS para Windows, baixado por usuários sul-coreanos no site de uma VPN legítima do país. O instalador implantava tanto o software original quanto o malware, batizado pelos pesquisadores de SlowStepper.
Outro vetor de ataque do PlushDaemon consiste em interceptar o tráfego de rede, sequestrar protocolos de atualização, redirecionar o tráfego para servidores controlados pelos atacantes e, assim, instalar o SlowStepper.
Esse backdoor tenta estabelecer comunicação com um servidor de comando e controle (C&C) para receber instruções adicionais. Uma vez conectado, o SlowStepper pode executar diversos comandos, como:
- Coletar informações da máquina comprometida, como nome do computador, lista de processos em execução, programas instalados, presença de câmeras ou microfones, entre outros.
- Executar um módulo Python do seu kit de ferramentas; os arquivos gerados e a saída são enviados ao servidor.
- Excluir arquivos específicos.
- Processar comandos como criar relatórios completos de arquivos, excluir diretórios ou todos os arquivos de um diretório.
- Desinstalar o SlowStepper, removendo seu mecanismo de persistência e arquivos.
Os perigos de uma violação de dados
Analisando as capacidades do SlowStepper, fica evidente que os ataques à cadeia de suprimentos representam riscos significativos para as empresas — incluindo prejuízos financeiros por paralisações, perdas de receita, custos de remediação e danos à reputação.
Esses ataques também podem resultar em violações de dados, cujas consequências são desastrosas. O custo médio de uma violação de dados saltou de US$ 4,45 milhões em 2023 para US$ 4,88 milhões em 2024, segundo o relatório Cost of a Data Breach da IBM. Inclusive, violações de terceiros, como ataques à cadeia de suprimentos, estão entre os três principais fatores que aumentam os custos das violações.
Além disso, esses ataques estão se tornando mais comuns: o relatório Data Breach Investigations Report 2024 da Verizon mostrou um aumento de 68% nos ataques à cadeia de suprimentos em relação ao ano anterior.
No entanto, esses são apenas uma fração dos vetores de ataque. De acordo com a IBM, os mais frequentes são:
- Credenciais roubadas ou comprometidas – 16%
- Phishing – 15%
- Configuração incorreta na nuvem – 12%
- Vulnerabilidade zero-day desconhecida – 11%
- Comprometimento de e-mail corporativo – 10%
- Ameaça interna maliciosa – 7%
Threat Intelligence: conhecimento que gera economia
Diante de ataques cada vez mais sofisticados e da crescente preocupação com segurança, não surpreende que o mercado global de threat intelligence deva crescer de US$ 5,8 bilhões em 2024 para US$ 24,05 bilhões até 2032.
O relatório da IBM calculou que o uso de soluções de threat intelligence pode reduzir o custo médio de uma violação em mais de US$ 240 mil.
Na conferência ESET WORLD 2024, Tope Olufon, analista sênior da Forrester — uma das principais empresas de pesquisa de mercado — ressaltou a importância da threat intelligence, afirmando que as organizações precisam entender o cenário de ameaças e se preparar para os riscos futuros.
No entanto, segundo Olufon, é essencial utilizar bem as informações fornecidas — threat intelligence não é apenas contar amostras detectadas, mas contextualizá-las e identificar os públicos certos dentro da organização
O que é o ESET Threat Intelligence?
Graças à tecnologia ESET LiveGrid, mais de 110 milhões de endpoints atuam como sensores detectando malwares. Ao combinar esses dados com o conhecimento dos premiados pesquisadores da ESET, o resultado é uma poderosa ferramenta que mantém os usuários atualizados sobre o cenário de ameaças, adversários, programas maliciosos e suas propriedades, servidores usados para propagação e até mesmo URLs e domínios envolvidos.
Imagem 1: Este serviço está disponível em duas modalidades: Data Feeds (feed de inteligência de ameaças) e Relatórios APT.
Um feed de inteligência de ameaças é um fluxo contínuo de dados sobre ameaças potenciais ou em andamento, que pode ser facilmente integrado a plataformas como SIEM e TIP.
Ao contrário de grandes volumes de dados brutos e não filtrados, a ESET fornece um feed curado, com categorização em alto nível e pré-filtragem, permitindo que os clientes o utilizem de forma mais eficiente e personalizada. Essa curadoria é realizada pelos pesquisadores da ESET, especialistas nos dados internos da empresa.
Esse processo de filtragem traz uma série de vantagens: os feeds da ESET podem ser mais compactos em volume, mas entregam apenas informações relevantes, com uma taxa extremamente baixa de falsos positivos. Além disso, são acompanhados por um rico contexto adicional que facilita a análise e a tomada de decisão.
Relatórios APT fornecem informações contextuais sobre vários adversários, os mais recentes APTs, análises técnicas das ameaças e resumos da atividade do cenário de ameaças. Se uma nova ameaça estiver se espalhando rapidamente, a ESET envia relatórios de alerta de atividade. Os usuários podem acessar tanto os relatórios legíveis por humanos quanto os Indicadores de Comprometimento (IoCs) legíveis por máquinas.
(Se você está interessado nos blogs de pesquisa da ESET, como o PlushDaemon, ou em Relatórios Públicos de Atividade de APTs e Relatórios de Ameaças da ESET, lembre-se de que estes são apenas a ponta do iceberg do que pode ser visualizado nos documentos recebidos do ESET Threat Intelligence.)
Agora, a ESET atualizou seu serviço de Threat Intelligence, que inclui 15 feeds e reestruturou os relatórios APT da ESET em 3 níveis. Assim, as empresas podem escolher o que é adequado para elas. Por exemplo, enquanto uma grande empresa pode optar por todos os feeds e o relatório de APT do nível mais alto, outras empresas podem escolher apenas alguns feeds essenciais para garantir a segurança de suas operações.
Os usuários dos níveis Advanced e Ultimate dos relatórios de APT da ESET Threat Intelligence podem reduzir ainda mais a complexidade com o ESET AI Advisor, um chatbot especializado em IA projetado para fornecer informações sobre APTs.
Aqui está a lista de feeds:
- Feed de arquivos maliciosos
- Feed de domínios
- Feed de URLs
- Feed de IPs
- Feed de botnets
5.1. Feed de C&C de botnet
5.2. Feed de alvos de botnet - Feed de IoC de APT
- Feed de infostealers Android
- Feed de ameaças Android
- Feed de Cryptoscams
- Feed de anexos maliciosos em e-mails
- Feed de URLs de phishing
- Feed de ransomware
- Feed de URLs de scams
- Feed de smishing
- Feed de SMS scams
Alimente seu conhecimento
À medida que o mundo do cibercrime evolui rapidamente, novas ameaças tornam-se mais sofisticadas e ágeis. Ter acesso a inteligência sobre o cenário de ameaças tornou-se uma necessidade. O ESET Threat Intelligence e seus feeds de dados permitem que as empresas fiquem tranquilas, sabendo que recebem regularmente as informações mais recentes sobre perigos específicos.
Além disso, a ESET trabalha incansavelmente para tornar esse serviço o mais simples possível. Com relatórios de APT aprimorados por IA, feeds de inteligência curados, filtragem e integração perfeita, as empresas podem ter o cenário de ameaças atual pronto para ser consumido com facilidade.