De acordo com Fabio Assolini, da Kaspersky Lab, tudo o que já foi visto até agora sobre malware e boleto foi apenas a ponta do iceberg; a pesquisa completa sobre este tema será apresentadas na próxima Virus Bulletin Conference.
Cybercriminosos Ampliam Técnicas para Roubar Maior Número de Usuários
As campanhas de malware que compromete boleto bancário, combinam vários novos truques para infectar e roubar mais usuários. Um dos mais recentes, é a utilização de payloads de software malicioso não executáveis, e XORed encriptados com uma chave de 32 bits e comprimidas por ZLIB. Não é coincidência que uma técnica muito semelhante foi usada pelo Zeus GameOver já faz alguns meses, mas desta vez, os arquivos estão usando extensões como .BCK e .JMP, ao invés de .ENC.
Além disso, existem provas de criminosos brasileiros que colaboraram fortemente com as gangues da Europa Ocidental envolvidas com o trojan ZeuS e suas variantes; não é raro encontrá-los em fóruns clandestinos à procura de amostras, a comprando novos artefatos de crimeware e malware ATM/POS. Os primeiros resultados desta cooperação, podem ser vistos no desenvolvimento de novos ataques como esse que que afeta os boletos de pagamento no Brasil.
Um procedimento tipicamente desse golpe do boleto brasileiro: usando web-injection para alterar os números no campo ID, já são o suficiente para redirecionar o pagamento. Vale ressaltar que em fevereiro deste ano, o especialista em segurança Gary Warner escreveu sobre uma nova versão da campanha do ZeuS, que baixa alguns arquivos estranhos e não executáveis para a máquina infectada, com extensão .enc. Além disso, alguns pesquisadores da CrySys, fizeram uma análise muito detalhada mostrando como esta é uma técnica eficaz pode passar através do firewall, webfilters, sistemas de detecção de intrusão de rede e muitas outras defesas que possam existir, como um pequeno trojan consegue transferir esses arquivos criptografados (.enc) e decodifica-os para a completar o processo de infecção.
Criptografia de Arquivos e Utilização de Ferramentas para Remoção
Na sequência de tudo isso, os cybercriminosos brasileiros decidiram usar a extensão .JMP em arquivos criptografados, da mesma forma, e sendo baixado por vários pequenos Trojans usados em boletos e campanhas que envolvem a ação de trojans bancários. Os criminosos tendem a criptografar os arquivos com uma carga maior para a utilização desta técnica, bem como algumas ferramentas de remoção, como o antirootkit Partizan e grandes trojans desenvolvidos em Delphi, que incluem imagens de páginas de Internet Banking. O objetivo é sempre encriptar o payload e torná-lo indetectável, de modo que não seja reconhecido como um executável portátil normal.
Outros arquivos de interesse são aqueles com extensões .BCK - eles são embalados com uma aplicação ainda desconhecida, que parece ser um aplicativo de backup comercial. Basta verificar que o head do arquivo criptografado é o suficiente para ver o que está dentro - neste caso, ele é um arquivo malicioso CPL utilizado nas campanhas de boletos:
"refazboleto" is Portuguese for "rebuild boleto". It points to a CPL file.
Portanto, para não se tornar mais uma vítima dessas investidas, as dicas são aquelas que você já deve conhecer: instalar um bom antivírus no seu computador e atualizá-lo constantemente. Sempre desconfiar de e-mails enviados por desconhecidos e nunca clicar em links ou baixar arquivos anexados a essas mensagens. Além disso, se desconfiar que sua máquina foi infectada, evite usar os serviços financeiros online do seu banco e procure um especialista.
Disseminação de Trojans Bancários
O Brasil é o país que mais propaga Trojans bancários no mundo inteiro. Também conhecido como Cavalo de Troia, esse código malicioso abre uma brecha no computador infectado, para que outros tipos de malware possam entrar e roubar dados financeiros da vítima, como senhas de contas correntes e números de cartões de crédito. No segundo trimestre deste ano, a Kaspersky registrou mais de 80 mil tentativas de executar esse tipo malware financeiro, que para efeito de comparação, é um número quatro vezes maior que o da Rússia, que ocupa o segundo lugar no ranking dessas ocorrências.
Trojans Atacam Dispositivos Móveis
A versão móvel dos ataques através do uso de cavalos de tróia, representa um dos maiores riscos de segurança para a América Latina. Durante o primeiro semestre de 2014, a Kaspersky relatou quatro vezes mais incidentes de malware móvel envolvendo usuários latinos do que no mesmo período do ano anterior, o que em parte pode ser explicado pelo grande aumento no número de dispositivos Android e impulsionado pela alta taxa de práticas de BYOD - Bring Your Own Device (sigla em inglês traga seu próprio dispositivo para a empresa) na região.
Dessa maneira, organizações governamentais, entidades, empresas e universidades permitem que usuários e funcionários acessem a rede interna, inclusive e-mail e documentos confidenciais a partir de seus dispositivos pessoais. Isso é uma grande porta aberta para que os cybercriminosos venham a cometer seus delitos. Na América Latina, as ameaças móveis mais comuns de serem encontradas são os Trojans-SMS, que enviam mensagens de texto a partir de dispositivos móveis infectados para números de tarifa premium.
O número total de amostras de malware móvel já registrados pela Kaspersky Labs ultrapassa os 360 mil. No final de 2013, havia apenas 189 mil. Vale ressaltar que os aplicativos mais explorados na América Latina para o uso de trojan são o Java, os players multimídia VLC Player e Campina, o compactador de arquivos WinRAR e o leitor de PDFs Adobe Reader/Acrobat. Todos são muito populares em seus nichos de atuação e os crackers se aproveitam de suas brechas de segurança para obter acesso ao sistema e executar os trojans com os privilégios de um usuário local. De acordo com a equipe de segurança da Kaspersky, o hábito de não atualizar esse tipo de software ainda é um grande problema para usuários corporativos e domésticos.
Desativação do ZeuS GameOver
No mês de junho deste ano de 2014, foi divulgada uma operação internacional que conseguiu desativar o temido Gameover Zeus. Para que isso fosse possível, houve um árduo trabalho do FBI em conjunto com a National Crime Agency do Reino Unido e também com a Europol, além de firmar parceria com empresas privadas de 12 países diferentes. Dessa forma, houve a possibilidade de fazer a desativação da rede de bots do Gameover Zeus, impedindo que ele continuasse a infectar milhares de computadores ao redor do mundo.
De acordo com o que foi registrado em todo o tempo de atividade do trojan, desde o ano de 2011 a praga havia atingido até 1 milhão de máquinas que executam o sistema Windows. Esta operação livrou cerca de 300 mil dessas máquinas de serem contaminadas pelo malware.
Sistema com Alta Lucratividade
Com o passar dos anos, houve uma estimativa de que o vírus tenha desviado cerca de US$ 100 milhões, o que gira em torno de R$ 240 milhões atualmente. Isso ocorreu porque o Gameover Zeus tinha plenas capacidades de roubar a senha e até mesmo arquivos de computadores de grandes corporações. Isso vinha ocorrendo, devido à liberação desses dados mediante pagamento de um resgate que envolvia quantias bastante elevadas. Vale ressaltar que esse procedimento de "hijacking" foi atrelado a uma outra praga que ficou bastante conhecida, chamada Cryptolocker.
Esse ransomware também foi identificado pela operação internacional que tinha como foco o Gameover Zeus. Além de tudo isso, o vírus foi capaz de infectar muitas máquinas no mundo inteiro, através de e-mails contaminados e disfarçados como cobranças.
Solução Provisória
De acordo com informações do FBI, houve o rastreamento do vírus até a Rússia, mas ainda não foi possível saber, exatamente, quem é o grande responsável (ou quem são os responsáveis) que tem o poder de comandar todos esses golpes. Independente disso, as autoridades norte-americanas identificaram o russo Evgeniy Mikhailovich Bogachev como um dos principais suspeitos, sob acusação de fraude, lavagem de dinheiro e conspiração.
Ele comandava um esquema altamente sofisticado, alavancando uma lucratividade cada vez maior e difícil de interromper. Importante lembrar que, mesmo o sistema estando desativado no momento, há a possibilidade de que outros cybercriminosos envolvidos venham a ativar novamente o Gameover Zeus.
Saiba Mais:
[1] Secure List http://securelist.com/blog/research/...e-combination/
[2] TecMundo http://www.tecmundo.com.br/seguranca...desativado.htm