Em meados do mês de julho, uma ação conjunta de agências de polícia européias e empresas de tecnologia, conseguiu chegar a uma botnet que disseminava, fortemente, o perigoso trojan bancário "Shylock". Através dessa operação realizada, foram apreendidos servidores, que de acordo com as considerações da Europol, eram verdadeiros centros de "comando e controle" do trojan e dos domínios utilizados para estabelecer comunicação entre computadores infectados.
Portanto, na quarta-feira, dia 16 de julho, através da emissão de um relatório da Kapersky Labs (que foi uma das empresas que participou da ação policial), houve um indicativo de que foram dois os picos de ataques do Shylock. De acordo com Europol, o trojan conseguiu infectar 30 mil computadores com sistema operacional Windows em todo o mundo. De acordo com esse novo relatório, em novembro do ano de 2012, os 10 países mais atacados foram Reino Unido, Itália, Polônia, Rússia, México, Tailândia, Irã, Turquia, Índia e Espanha.
Brasil na Liderança de Países que Foram Atacados pelo Trojan "Shylock"
Na segunda etapa dos ataques desencadeados pelo "Shylock", em dezembro do ano passado, a lista passou por uma modificação. O Brasil surgiu no topo, seguido pela Rússia, Vietnã, Itália, Ucrânia, Índia, Reino Unido, Belarus, Turquia e Taiwan. Conforme avaliou a equipé de profissionais de segurança da Kaspersky Lab, os criminosos responsáveis pelo desenvolvimento desse malware, definitivamente pararam de dar tanta atenção aos mercados de e-money do Reino Unido, Itália e Polônia passando a voltar suas atenções para mercados ativamente em desenvolvimento do Brasil, da Rússia e do Vietnã.
Outro fator de grande relevância, é que os dois picos de investida do "Shylock" aconteceram em épocas tradicionalmente de muitas compras no varejo em muitos países.
Contra-ataque ao Trojan "Shylock"
Nos dias 8 e 9 de Julho de 2014, através de uma força conjunta de agentes policiais europeus e de empresas de vários países, foi desencadeado um verdadeiro contra-ataque aos domínios da Internet e servidores que compõem o núcleo de uma infra-estrutura de cybercrime, que ataca sistemas bancários em todo o mundo usando o trojan Shylock. Esta operação, coordenada pela Agência Nacional de Crimes do Reino Unido (NCA), reuniu parceiros de fiscalização da lei e de setores privados, incluindo a Europol, o FBI, BAE Systems Intelligence Applied, Dell SecureWorks, Kaspersky Lab e o GCHQ (serviço secreto inglês), com a intenção de combater, de maneira conjunta, a ameaça.
No decorrer dessa ação, várias partes anteriormente desconhecidas da infra-estrutura foram descobertas; as ofensivas foram imediatamente iniciadas a partir do centro de operações em Haia. Vale ressaltar fortemente que, o trojan "Shylock", assim chamado porque seu código contém trechos de "O Mercador de Veneza", de Shakespeare, já infectou pelo menos 30. 000 computadores que executam o sistema Windows.
Reino Unido como Principal Alvo do "Shylock"
As investigações indicam que o "Shylock" tem como alvo o Reino Unido, mais do que qualquer outro país, embora os Estados Unidos, Itália e Turquia também estejam na sua linha de tiro. Porém, ainda não se sabe qual a origem de seus desenvolvedores. As vítimas são geralmente infectadas ao clicar em links maliciosos, e a partir daí, convencidas a baixar e executar um arquivo malicioso que contém o malware. Dessa forma, "Shylock" procura acesso a fundos em contas bancárias pessoais ou empresariais, para transferí-los para os cybercriminosos.
Meios de Infecção Usados pelo "Shylock" e Precauções a Serem Tomadas
Existem várias maneiras através das quais, um computador poderia ser infectado com o trojan "Shylock". Um dos métodos de distribuição principais do Trojan era através de e-mails de spam. Portanto, em qualquer situação, é necessário ser cuidadoso com as mensagens de e-mail de remetentes desconhecidos, embora este seja um alerta que vem sido feito durante muito tempo, mas ainda há quem caia nos golpes dos cybercriminosos. As pessoas, por mais curiosas que sejam, devem evitar baixar os anexos ou clicar em todas os links que aparecerem, principalmente se não tiverem certeza se a fonte é confiável. Além disso, é preciso também ter cuidado com páginas da Web shareware e freeware.
Dessa forma, é possível, facilmente, baixar um programa malicioso disfarçado como uma atualização de software útil, um codec de vídeo e assim por diante. Além disso, tenha em mente que ter uma ferramenta anti-malware em seu computador é elementar, para ajudar na proteção contra infecções por malware.
Capacidades do Trojan.Shylock.B
Trojan.Shylock.B foi especialmente prejudicial em todos os seus ataques realizados, pois esse malware tem a capacidade de roubar seus detalhes de conta bancária e enviá-los para criminosos cibernéticos. Ele também pode liberar outro tipo malware em seu PC. Depois que isso acontecer, você pode observar todos os tipos de comportamento estranho no seu computador. Ele pode travar ou desligar-se completamente, sem que haja nenhum motivo aparente.
Além disso, alguns programas podem ficar sem resposta. O sistema, de um modo geral e a velocidade da Internet, também podem apresentar uma certa lentidão. E mais um detalhe: você também pode perceber modificações não autorizadas nas configurações. Tudo isso pode levar a danos mais sérios no computador.
A Relevância das Atividades do "Shylock"
Clientes de grandes bancos, no mundo inteiro, passarem a ser alvo de trojans como Shylock. De acordo com a Zscaler, em uma análise feita em 2013, a empresa de segurança disse que os cybercriminosos estavam visando os clientes com contas em 24 bancos proeminentes e outras instituições financeiras em todo o mundo, usando Trojan "Caphaw", cujo nome é outro "Shylock", com o objetivo de furtar dados bancários armazenados em computadores infectados. No entanto, não havia conhecimento sobre a maneira pela qual a infecção se espalhava. Dessa forma, pesquisadores de segurança acreditavam que um kit de ferramentas desenvolvido para ataques estaria sendo usado para liberar o malware, que explora falhas no Java existentes dentro de programas de computadores-alvo.
Quando é carregado o trojan Shylock em um computador, ele tem a capacidade de fazer auto-inserções dentro de processos genuínos para que possa evitar a detecção por qualquer tipo de software de segurança. Além disso, existe mais uma tática que os criminosos aplicam: é através da utilização de um DGA (algoritmo de geração de domínio). Ele ajuda na criação de inúmeros domínios quase-aleatórios, que funcionam como sistemas de C & C (comando e controle). Estes centros repassam instruções para o Trojan.
Considerações Executivas
Além de tudo o que já foi mencionado, para estabelecer troca de mensagens entre os computadores contaminados, bem como os sistemas de C & C, Shylock conta com a ajuda dos dados criptografados SSL. Nesse contexto, os investigadores Chris Mannon e Sachin Deodhar da Zscaler, disseram que a criptografia restringe programas de monitoramento de rede convencionais, com relação a detecção de qualquer investida maliciosa. Estas informações foram postadas no Threatpost.com, publicadas no dia 18 de setembro de 2013. Os pesquisadores relataram que a maioria das contaminações detectadas, estavam ocorrendo na Itália, no Reino Unido, na Turquia e na Dinamarca.
De uma forma incrível, Shylock faz de tudo pela sobrevivência e persistência no computador de destino. Ele é resistente e tem capacidades bastante avançadas. De forma notável, a primeira vez que o trojan "Shylock" pode ser detectado foi no ano de 2011; após essa primeira aparição, ressurgiu logo no início de 2013, atingindo clientes de grandes bancos europeus. De acordo com dados divulgados pela Symantec, Shylock após a sua primeira apresentação, que ocorreu em 2011 (como já foi citado no parágrafo anterior), as infecções decorrentes de suas ações cresceram rapidamente, uma vez que o malware foi aperfeiçoado. As atividades massivas foram detectadas já em julho de 2011, embora naquele momento a distribuição ainda não chegava a números alarmantes. Depois disso, Shylock foi rigidamente controlado, e ainda estava em estágios iniciais de desenvolvimento. Porém, no final de 2011, a sua distribuição começou a entrar em ritmo acelerado.
Houve um aumento significativo na contagem de infecções causadas por ele ao longo do ano de 2012; assim, Shylock manteve seu ímpeto nos anos de 2013 e de 2014, com o aumento da distribuição e um foco pesado em segmentação de clientes de instituições financeiras no Reino Unido e dos Estados Unidos, visando fortemente alavancar a lucratividade dos cybercriminosos que o manipulam.
Muito importante ressaltar que a quadrilha responsável por Shylock vem desenvolvendo, continuamente, novas funcionalidades, reagindo rapidamente às contramedidas bancárias on-line e utiliza os canais de distribuição avançada para infectar o usuário final. Shylock é sem dúvida, uma empresa afinado e rentável, que continuou a crescer em 2014. Portanto, combater uma ameaça como Shylock exige a cooperação transfronteiriça entre a indústria privada e aplicação da lei.
Saiba Mais:
[1] Convergência Digital http://convergenciadigital.uol.com.b...8#.VCe4Z_ldWpx
[2] CyberSecurity http://www.cibersecurity.com.br/acao...rojan-shylock/
[3] SPAMFighter http://www.spamfighter.com/News-1858...ns-Zscaler.htm