Injeção de Código, Decriptografia e Descompactação de Componentes
Os e-mails de spam descobertos pela Symantec são projetados para se parecer com lembretes de pagamento de faturas. O trojan dropper, que é embalado com Visual Basic, está ligado a essas mensagens como um arquivo .ZIP. Uma vez que ele seja executado, o dropper injeta código malicioso em um processo do Windows, além de decriptografar e descompactar componentes embutidos. Um desses componentes é MyFault, um driver legítimo do Windows que é utilizado para acionar falhas no sistema com a finalidade de solucionar problemas. Diante de tudo isso, os especialistas acreditam que os desenvolvedores deste malware estão usando a praga para travar o dispositivo infectado, caso a ameaça esteja sendo monitorada.
Outro componente é o downloader, que silenciosamente transfere o payload. O driver Carberp é o componente utilizado para matar processos e injetar cargas maliciosas na memória, a fim de manter o processo de infecção muito bem escondido. O que os pesquisadores puderam notar é que a Austrália parece ser o alvo principal dessa investida, mas algumas infecções também foram detectadas nos Estados Unidos e em outros lugares do mundo. Isso significa que os cyibercriminosos estão cada vez mais focados na Austrália para disseminar suas atividades maliciosas. Neste contexto, relatórios recentes mostram que arquivos com criptografia de um ransomware foram muito bem sucedidos atuando na região mencionada, durante os últimos meses.
Código do Trojan Liberado em Fóruns Clandestinos e Criação do Zberp
O código-fonte completo do Carberp foi disponibilizado em fóruns clandestinos em junho de 2013, pouco depois de as autoridades russas anunciarem que haviam prendido um indivíduo que, ao que tudo leva a crer, seja o cérebro por trás da projeção deste malware financeiro. Além de tudo, Trojan.Carberp.B foi descoberto em novembro de 2014; entretanto, os criadores da praga também usaram o código-fonte para criar Zberp, um híbrido que combina elementos de do temido Zeus e do Carberp, como o próprio nome sugere.
Zberp Combina Recursos para Fortalecer Ataques Contra Instituições Financeiras
Zberp é o trojan que logo do seu surgimento, teve como alvo usuários de mais de 400 instituições financeiras de todo o mundo. Ele empresta funcionalidades e recursos diretamente dos programas de malware Zeus e do Carberp, como supra citado no parágrafo anterior. A ameaça foi assim apelidada por pesquisadores de segurança da IBM e tem uma ampla gama de recursos poderosos. Ele pode reunir informações sobre os computadores infectados, incluindo os respectivos endereços IP e também nomes. O trojan também é capaz de fazer capturas de tela e enviá-las para um servidor remoto; roubar credenciais FTP e POP3, certificados SSL e informações que forem inseridas em formulários da Web; ele pode ainda fazer um hijacking em sessões de navegação e inserir conteúdo em sites maliciosos, e iniciando conexões remotas usando os protocolos de VNC e RDP.
Ocultação de Dados com Uso de Esteganografia e Bypass em Soluções Anti-malware para Evitar Detecção
Os pesquisadores da Trusteer consideram o cavalo de tróia Zberp uma variante do ZeusVM, que é uma modificação recente do programa Zeus (amplamente utilizado), cujo código-fonte vazou em fóruns clandestinos no ano de 2011. ZeusVM foi descoberto no mês de fevereiro e se destaca de outros tipos de malware baseados no Zeus, através do uso de seus recursos de esteganografia para ocultar dados de configuração dentro de imagens. Os desenvolvedores do Zberp passaram a utilizar a mesma técnica, que se destina a evitar a sua detecção por tradicionais programas anti-malware. No entanto, a nova ameaça também utiliza técnicas para controlar o navegador da vítima, técnicas essas que teriam sido herdadas do Carberp, o outro poderoso Trojan projetado para realizar fraudes bancárias on-line. A fonte deste último, foi divulgada em 2013.
Poder de Destruição e Ardilosidade do Zberp já era Esperado pelos Pesquisadores
Uma vez que o código-fonte do Carberp trojan vazou para o público, os pesquisadores de segurança chegaram a conclusão de que não iria demorar muito tempo para que os cybercriminosos combinassem o código-fonte do Carberp com o código do Zeus, e assim, criar um "monstro", ou seja, uma praga ainda mais perniciosa do que os outros dois trojans. Isso foi apenas uma teoria, mas depois de algumas semanas eles encontraram amostras do botnet "Andromeda". Estas amostras passaram a baixar este híbrido em questão, o tal Zberp. Além do mais, Zberp utiliza algumas outras técnicas emprestadas de ZeusVM, com a intenção de alcançar persistência e evitar a detecção. O programa de malware deleta sua chave de registro inicial quando está em execução e adiciona tal chave de volta quando detecta algum tipo de desligamento do sistema. "O Zberp tinha plenas capacidades de evitar a maioria das soluções antivírus quando foi detectado pela primeira vez", disseram os pesquisadores da Trusteer.
Vazamento do Código do Carberp
No mês de junho de 2013, o código fonte do trojan bancário "Carberp" - um elemento malicioso que foi codificado por uma equipe composta por uns 20 crackers que usavam-no para roubar altas quantias de contas bancárias (estima-se que cerca de 250,000 mil dólares foram roubados na época - foi divulgado on-line e disponibilizado download, com acesso público. O vazamento de código deu aos especialistas em segurança, uma visão fascinante e um tanto rara em relação ao próprio trojan e às situações referentes a ele, mas muitos também ficaram temerosos que sua publicação pudesse gerar novas cepas híbridas de trojans dessa natureza, com recursos ainda mais sofisticados.
O vazamento parece ter começado, como geralmente acontece em situações como essa, com a venda do código-fonte do trojan em um fórum clandestino, onde se reuniam vários cybercriminosos. No dia 5 de junho, um membro do fórum "Lampeduza" disse que estava vendendo o código do Carberp a um único comprador, com um preço inicial de US$ 25.000. O vendedor disse ainda que estava ajudando um dos desenvolvedores do código e que estava "precisando de dinheiro". Em meados de junho do mesmo ano de seu surgimento, links para baixar o arquivo completo do trojan Carberp estavam sendo postados em vários fóruns. Desde então, especialistas de todo o mundo passaram a investigar e analisar o arquivo de dois gigabytes para saber mais sobre o código e seu potencial, além das possibilidades futuras de criação de novas espécies de malware.
Carberp In-the-Mobile
De acordo com pesquisadores da Kaspersky, muitas vezes já foram feitas publicações sobre ataques do tipo Man-in-the-Mobile que visam roubar mTANs enviadas via SMS. Por um longo tempo, apenas duas famílias de tal tipo de malware foram conhecidas: ZeuS-in-the-Mobile (Zitmo) e SpyEye-in-the-Mobile (SpitMo). Zitmo e SpitMo trabalham em conjunto, como se fossem "irmãos". Além disso, é necessário mencionar que, de 2010 até o ano de 2012, tais ataques tinham sido observados apenas em alguns países europeus, como Espanha, Itália, Alemanha, Polônia e alguns outros. Porém, quando a versão móvel do Carberp Trojan apareceu (a equipe de pesquisadores conseguiu detectá-lo como Trojan-Spy.AndroidOS.Citmo, Carberp-in-the-Mobile), tais ataques se tornaram reais na Rússia também. E além do mais, não é segredo para ninguém que os serviços de banco online (Internet Banking) tenham se tornado fortemente populares naquele país.
Em face de tudo isso, acompanhando a disponibilidade dos serviços financeiros online e a evolução dos mesmos, os cybercriminosos se tornaram também mais atentos e passaram a expandir suas atividades, para não perderem nenhuma oportunidade de tirar vantagem. E neste cenário, muitos tipos de malware irão evoluir e continuar a ser um problema para os usuários, não só da Europa, da Rússia, dos Estados Unidos mas também dos outros países do mundo inteiro.
Saiba Mais:
[1] Security Week http://www.securityweek.com/new-vari...ed-researchers