Produtos da Kaspersky Lab Detectam Malware Shylock como Backdoor.Win32.Caphaw e Trojan-Spy.Win32.Shylock
A equipe da Kaspersky Lab, detectou este malware, genericamente, a partir do final de agosto de 2011, como Backdoor.Win32.Bifrose.fly. A detecção específica desta família de malware foi adicionada em fevereiro de 2012, e desde então, tem sido possível observar um número muito reduzido de detecções - aproximadamente 24.000 delas tenta infectar PCs protegidos por produtos da Kaspersky Lab em todo o mundo. Esses números são muito modestos, especialmente em comparação com outros tipos de malware bancários mais conhecidos, como é o caso do Zeus, do SpyEye e do Carberp, que geraram (e, no caso de alguns deles, como Zeus, ainda geram) dezenas ou centenas de milhares de detecções.
É claro que esses números não nos dizem tudo sobre como Shylock pode ser eficaz em suas investidas, porque a equipe de profissionais da Kaspersky Lab "vê" apenas uma parte do número total de usuários de PC - apenas aqueles que usam os produtos da empresa. Além disso, a baixa popularidade não torna Shylock menos perigoso do que os outros trojans bancários. O conjunto de técnicas maliciosas que ele utiliza, não é menos perigoso do que o utilizado por outro malware similar.
Ele é capaz de injetar seus elementos em vários processos em execução, além de possuir ferramentas para evitar a detecção por software anti-malware, usar vários plugins que adicionam funções maliciosas adicionais com vistas a contornar software anti-malware, recolher as senhas para o servidor de FTP, se espalhar através de mensagens e servidores, além de oferecer acesso remoto à máquina infectada, video grabbing e, claro, injeção Web. Esta última função é usada para furtar dados bancários on-line, através da injeção de dados falsos dentro da página Web carregada no navegador da vítima.
Durante todo o período em que os profissionais da Kaspersky Lab acompanharam o comportamento de Shylock, foi possível ver dois picos relativamente grandes na taxa de detecção para este malware. O primeiro registro foi feito em novembro de 2012 e o segundo foi em dezembro de 2013.
A Geografia do pico registrado em novembro de 2012 foi a seguinte:
United Kingdom |
Italy |
Poland |
Russian Federation |
Mexico |
Thailand |
Iran |
Turkey |
India |
Spain |
A tabela acima mostra os 10 países onde foram registrados ataques usando o malware Shylock. Há pouco mais de um ano depois, em dezembro de 2013, esse quadro mudou drasticamente.
Brasil |
Federação Russa |
Vietnã |
Itália |
Ucrânia |
Índia |
Reino Unido |
Belarus |
Peru |
Taiwan |
Como essas tabelas mostram, os cybercriminosos que agem por trás desse malware, definitivamente, pararam de dar tanta atenção aos mercados de moeda electrônica desenvolvidas do Reino Unido, Itália e na Polônia, em favor dos mercados em desenvolvimento ativamente do Brasil, da Rússia e do Vietnã. Por isso que é interessante que ambos os picos tenham acontecido no final do outono para o período de inverno, a alta temporada de varejo tradicional em muitos países ao redor do mundo.
De acordo com dados divulgados pela Europol, este malware já infectou mais de 30 mil PCs em todo o mundo. Esta é uma escala grande o suficiente para causar enormes prejuízos financeiros, de modo que o rompimento da infra-estrutura de backbone do Shylock, é uma notícia muito boa. E ainda há uma melhor notícia: é que a recente operação, coordenada pela Agência de Crime Nacional do Reino Unido (NCA), reuniu parceiros da aplicação da lei e do setor privado, incluindo - além da Kaspersky Lab - Europol, o FBI, a BAE Systems Intelligence Applied, Dell SecureWorks e GCHQ do Reino Unido (Government Communications Headquarters), para combaterem conjuntamente a ameaça.
Sendo assim, a equipe da Kaspersky Lab estava contente em adicionar a sua modesta e valorosa contribuição para esta operação. Esta ação global trouxe resultados positivos - e um exemplo disso é a operação que visa o malware Shylock, abordando seu comportamento, suas formas de ataque e seu grau de periculosidade.
Saiba Mais:
[1] Secure List http://securelist.com/blog/research/...-the-overview/