O arquivo baixado nada mais é que um dropper (cavalo de tróia), tipo de malware que nem sempre executa ações maliciosas
Caso o malware infecte ambientes de empresas, o comportamento da ameaça poderá negativar a reputação do IP corporativo, causando impacto ao negócio, uma vez que diversas soluções de segurança de perímetro, por exemplo, consultam backlists e bloqueiam qualquer tráfego com IP’s que constem nestas listas.
Podemos concluir também que não se trata de um ameaça direcionada a um nicho de mercado e que o provável propósito do atacante é usar infraestrutura de terceiros para obter acessos privilegiados em sistemas que estejam mal configurados e possuem senhas fracas, usando tais informações para obter ganho financeiro, seja na venda das informações no mercado negro ou extorsão de empresas através de vazamento de dados.
No geral, é imprescindível investir em prevenção, seja na aquisição de soluções de segurança, seja na criação de rotinas proativas de revisão de configuração e boas práticas para administração das soluções. Além disso, é importante fazer um monitoramento de segurança contínuo, criar/atualizar controles, ter equipes especializadas, inclusive na Resposta a Incidentes de Segurança. Estas ações reduzem significativamente o número de incidentes mais complexos, reduzem custo com recuperação de incidentes e principalmente o impacto ao negócio.
Prevenir é sempre um bom caminho!
Pedro Barreto — Pesquisador e incident responder na Real Protect.