• Panorâmica Sobre Trojan Shylock/Caphaw

    Recentemente, a especialista Kaspersky Lab tem contribuído para fortalecer uma aliança de organizações de aplicação da lei e da indústria, a tomar medidas contra os domínios de Internet e servidores que formam o núcleo de uma infra-estrutura cybercriminosa avançada que utiliza o Shylock Trojan para atacar os sistemas bancários on-line em todo o mundo. Shylock é um Trojan bancário, que foi descoberto pela primeira vez em 2011 e utiliza ataques man-in-the-browser do projetados para furtar credenciais de login bancário dos PCs de clientes de uma lista predeterminada de organizações-alvo. A maioria dessas organizações são os bancos localizados em diferentes países.


    Produtos da Kaspersky Lab Detectam Malware Shylock como Backdoor.Win32.Caphaw e Trojan-Spy.Win32.Shylock

    A equipe da Kaspersky Lab, detectou este malware, genericamente, a partir do final de agosto de 2011, como Backdoor.Win32.Bifrose.fly. A detecção específica desta família de malware foi adicionada em fevereiro de 2012, e desde então, tem sido possível observar um número muito reduzido de detecções - aproximadamente 24.000 delas tenta infectar PCs protegidos por produtos da Kaspersky Lab em todo o mundo. Esses números são muito modestos, especialmente em comparação com outros tipos de malware bancários mais conhecidos, como é o caso do Zeus, do SpyEye e do Carberp, que geraram (e, no caso de alguns deles, como Zeus, ainda geram) dezenas ou centenas de milhares de detecções.

    É claro que esses números não nos dizem tudo sobre como Shylock pode ser eficaz em suas investidas, porque a equipe de profissionais da Kaspersky Lab "vê" apenas uma parte do número total de usuários de PC - apenas aqueles que usam os produtos da empresa. Além disso, a baixa popularidade não torna Shylock menos perigoso do que os outros trojans bancários. O conjunto de técnicas maliciosas que ele utiliza, não é menos perigoso do que o utilizado por outro malware similar.




    Ele é capaz de injetar seus elementos em vários processos em execução, além de possuir ferramentas para evitar a detecção por software anti-malware, usar vários plugins que adicionam funções maliciosas adicionais com vistas a contornar software anti-malware, recolher as senhas para o servidor de FTP, se espalhar através de mensagens e servidores, além de oferecer acesso remoto à máquina infectada, video grabbing e, claro, injeção Web. Esta última função é usada para furtar dados bancários on-line, através da injeção de dados falsos dentro da página Web carregada no navegador da vítima.

    Durante todo o período em que os profissionais da Kaspersky Lab acompanharam o comportamento de Shylock, foi possível ver dois picos relativamente grandes na taxa de detecção para este malware. O primeiro registro foi feito em novembro de 2012 e o segundo foi em dezembro de 2013.

    A Geografia do pico registrado em novembro de 2012 foi a seguinte:

    United Kingdom
    Italy
    Poland
    Russian Federation
    Mexico
    Thailand
    Iran
    Turkey
    India
    Spain


    A tabela acima mostra os 10 países onde foram registrados ataques usando o malware Shylock. Há pouco mais de um ano depois, em dezembro de 2013, esse quadro mudou drasticamente.

    Brasil
    Federação Russa
    Vietnã
    Itália
    Ucrânia
    Índia
    Reino Unido
    Belarus
    Peru
    Taiwan

    Como essas tabelas mostram, os cybercriminosos que agem por trás desse malware, definitivamente, pararam de dar tanta atenção aos mercados de moeda electrônica desenvolvidas do Reino Unido, Itália e na Polônia, em favor dos mercados em desenvolvimento ativamente do Brasil, da Rússia e do Vietnã. Por isso que é interessante que ambos os picos tenham acontecido no final do outono para o período de inverno, a alta temporada de varejo tradicional em muitos países ao redor do mundo.

    De acordo com dados divulgados pela Europol, este malware já infectou mais de 30 mil PCs em todo o mundo. Esta é uma escala grande o suficiente para causar enormes prejuízos financeiros, de modo que o rompimento da infra-estrutura de backbone do Shylock, é uma notícia muito boa. E ainda há uma melhor notícia: é que a recente operação, coordenada pela Agência de Crime Nacional do Reino Unido (NCA), reuniu parceiros da aplicação da lei e do setor privado, incluindo - além da Kaspersky Lab - Europol, o FBI, a BAE Systems Intelligence Applied, Dell SecureWorks e GCHQ do Reino Unido (Government Communications Headquarters), para combaterem conjuntamente a ameaça.

    Sendo assim, a equipe da Kaspersky Lab estava contente em adicionar a sua modesta e valorosa contribuição para esta operação. Esta ação global trouxe resultados positivos - e um exemplo disso é a operação que visa o malware Shylock, abordando seu comportamento, suas formas de ataque e seu grau de periculosidade.


    Saiba Mais:

    [1] Secure List http://securelist.com/blog/research/...-the-overview/