Vale ressaltar que este é o segundo golpe que utiliza o WhatsApp, e que identificado pelos pesquisadores da ESET em apenas uma semana. Na campanha anterior (voltada a usuários brasileiros), os cybercriminosos utilizaram um falso e-mail que prometida uma versão do WhatsApp para computadores. O novo golpe utiliza um e-mail que simula uma mensagem de voz do WhatsApp, e que apresenta um arquivo comprimido na mensagem, intitulado "Missed-message.zip".
Quando o arquivo é descompactado, o usuário executa um arquivo com o mesmo nome, que funciona como um dropper (técnica comum utilizada pelos crackers para fazer com que um arquivo aparentemente inofensivo descarregue outras ameaças).
Processo "kilf.exe"
Na sequência, vem um segundo dropper, que inicia um processo chamado kilf.exe. Esse processo tem a função de limpar a cena, apagando os arquivos mencionados anteriormente, graças a um arquivo com extensão BAT que também elimina a si mesmo. Logo, aparece um segundo executável, que é o malware (código malicioso) por trás do botnet ZeuS (ZBot), sendo detectado pelas soluções ESET como Win32/Spy.Zbot.
Ao longo de todo o seu processo, o malware manipula os controladores de som do sistema operacional infectado, simulando ser um arquivo de áudio verdadeiro. De acordo com Raphael Labaca Castro, Coordenador de Awareness & Research da ESET na América Latina, "os cybercriminosos aproveitam a popularidade do WhatsApp para disseminar campanhas maliciosas. Para não ser vítima de casos como esse, é importante contar com uma solução de segurança que detecte a ameaça prevalente. Além disso, os profissionais recomendam, fortemente, que seja verificado se a informação em questão, nesse caso a mensagem de voz, é verídica.
Exposição, Inconsequência e Transtornos Trazidos pelo Mau Uso do Aplicativo
O WhatsApp, famoso aplicativo que permite o envio de mensagens instantâneas, um verdadeiro é sucesso no mundo inteiro, e no Brasil, especificamente, 90% de todos os smartphones registrados tem o aplicativo instalado. Por um lado, há um maior nível de relacionamento e comunicação entre os usuários de celulares, que conversam entre si com maior comodidade e economia, pelo fato de não pagarem praticamente nada pelo serviço. A anuidade do aplicativo custa apenas 1 dólar.
Porém, temos presenciado uma realidade preocupante em relação à exposição de inúmeras cenas de sexo explícito por meio da transmissão de vídeos caseiros no WhatsApp, que vão se propagando por milhões de smartphones. Os maiores protagonistas desses episódios são adolescentes, que sem medir as consequências de seus atos, acabam causando sérios comprometimentos para si mesmo.
Outra questão que também deve ser enfatizada, é a não aceitação de números desconhecidos, que muitas vezes, podem ser uma armadilha. Também é preciso ficar atento aos arquivos que são enviados através do aplicativo: se você considerar suspeito, não abra, para que não tenha surpresas desagradáveis mais tarde. Se você não conhece o remetente, bloqueie.
Ascensão do Trojan ZeuS e suas Variantes
A proliferação de trojan bancários ganhou força de uns dois anos para cá, devido à malícia dos cybercriminosos quando se trata de tirar proveito de clientes, roubando seus dados de acesso como nome de usuário e senha, para, posteriormente, fazer uma varredura nas contas daqueles que são vítimas de golpes provenientes do submundo. As variantes de maior prevalência envolvem um quarteto bastante perigoso, composto pelas pragas Carberp, Citadel, SpyEye e, especialmente o ZeuS, que é mais antigo dentre os citados.
Carberp
A versão original do Carberp era uma espécie de cavalo de Tróia típico. Ele foi projetado para roubar dados confidenciais dos usuários, como as credenciais bancárias online ou combinações de nome de usuário e senha a partir de sites de alto valor. Carberp repassava a informação que roubava de volta para um (C & C) servidor de comando e controle, que funcionava sob o domínio de seu criador. Simples e direto. O único componente mais elaborado foi a funcionalidade do rootkit, permitindo que o cavalo de Tróia passasse desapercebido no sistema da vítima.
Nesse contexto, autoridades russas prenderam oito homens que ao que tudo indica, foram os responsáveis por controlar o malware. Desde então, tem havido muitas prisões. O grupo de criminosos responsável pelo Citadel, desenvolveu uma comunidade de clientes e colaboradores em todo o mundo que possa sugerir novos recursos para o malware, contribuindo com a criação de código e módulos, como parte de uma rede social criminosa.
Alguns dos recursos mais fascinantes incluiu criptografia de arquivos de configuração e comunicação com o servidor C & C, uma habilidade para fugir de sites de rastreamento, a capacidade de bloquear o acesso a sites de segurança nas máquinas das vítimas, e uma funcionalidade que pode gravar vídeos de atividades das vítimas.
A rede de colaboradores Citadel continua adicionando recursos novos e mais dinâmicos para o trojan , tornando a praga mais adaptável e mais rápido, até que se tornou utilitária que os criminosos começaram a usá-lo para todas as faixas de roubo de credenciais. Além disso, Citadel só foi bem sucedido até a Microsoft e uma coalizão de outras empresas lançarem uma operação que acabaria por desativar cerca de 88 por cento de suas infecções.
SpyEye
O trojan SpyEye, supostamente, seria o trojan bancário que viria para competir com ZeuS. Sua campanha publicitária tinha um enorme potencial, mas ele não podia derrubar o rei. Zeus é o rei, sem dúvida, mas SpyEye fez um "splash" desaparecendo rapidamente. Em um dado momento, partes da operação botnet SpyEye fundiu-se com ZeuS. Os atacantes implantaram SpyEye em um ataque visando a página de faturamento on-line da Verizon, com furto de informações pessoais e financeiras sensíveis dos usuários. Ele apareceu no Simple Storage Service da Amazon, usando o provedor de nuvem como uma plataforma para ataques, mostrou-se ativo em dispositivos Android, mas uma série de detenções e, talvez, a falta de eficácia deu fim às atividades do SpyEye.
ZeuS
ZeuS. De forma bastante apropriada, foi comparado ao rei dos deuses ao receber esse nome, devido ao seu alto potencial, inigualável alcance, uso e eficácia. Desde que o seu código-fonte foi divulgado em 2011, parece que quase todos os trojans bancários tem alguma característica do ZeuS incorporada. Mas dentre todos eles, apenas ZeuS é notório o suficiente para ter a sua própria página da Wikipédia. Existem 22 páginas, cada uma contendo dez histórias, no Threatpost fazendo referência ao trojan ZeuS.
Ele entrou em cena em 2007, depois de ter sido usado em um ataque visando o Departamento de Transportes dos Estados Unidos. Desde então, o trojan já infectou dezenas de milhões de máquinas e resultou no roubo de centenas de milhões de dólares. Muitas centenas de indivíduos cumprem ou já cumpriram pena de prisão por seu envolvimento em fraudes relacionadas com o ZeuS.
Esse trojan foi uma das primeiras amostras a serem vendidas através de licença. Até o seu código fonte ter sido tornado público, ZeuS era o flagelo dos bancos e corporações iguais. A lista de suas vítimas é muito longa para ser listada, mas inclui bancos proeminentes, empresas renomadas e agências governamentais.
Atividades Maliciosas com a Variante Zitmo
Além de tudo isso, o trojan ZeuS também é conhecido pelo uso inovador em telefones celulares, com investidas que são feitas através de seu "irmão mais novo" chamado Zitmo. A variante burla esquemas de autenticação de dois fatores populares com código de segurança, que está sendo fornecida através de mensagem de texto. Vale ressaltar que o SpyEye e Carber desenvolveram suas respectivas contrapartes móveis também. A grande verdade é que ZeuS está entre os mais notórios de todos os malwares, perdendo apenas talvez para Stuxnet.
Considerações Gerais
Trojans bancários, como é de conhecimento geral, têm o potencial de causar dano financeiro direto às suas vítimas, por isso é que o software de proteção moderno deve incluir contramedidas específicas contra cada aspecto da funcionalidade de trojan "banking".
Saiba Mais:
[1] CBNews http://cbnewsplus.com/zeus-virus-que...hatsapp/42279/