• Trojans Bancários Atingem Cerca de 1.500 Instituições Financeiras

    Conforme a divulgação de um relatório da Symantec, nove dos trojans financeiros mais comuns e sofisticados em uso atualmente, está direcionando ataques a cerca de 1.400 instituições financeiras em 86 países. O relatório foi compilado após a análise de mais de 900 arquivos de configuração a partir de amostras de trojans recentes. Um particular (mas não identificado) banco dos EUA, é alvo de 95 por cento das amostras de malware bancário e o resto da lista é repleta de bancos norte-americanos, seguidos por outros vários no Canadá, no Reino Unido e na Europa. A lista das 25 principais instituições contida nos arquivos de configuração, também apresenta um serviço de pagamento on-line com sede nos EUA e uma plataforma de leilões também com sede nos EUA, que seriam PayPal e Ebay.


    Enquanto 95 por cento das instituições são provenientes do setor financeiro, os trojans dessa natureza também estão atrás de detalhes de login para sites de vários meios de comunicação social, sites de emprego, casas de leilão e serviços de e-mail. Mas os atacantes também começaram a se concentrar em alvos que não sejam banking on-line, tais como o sistema brasileiro de pagamento de Boleto (com as práticas de Bolware), Cryptocurrencies como Bitcoin e gerenciadores de senha. O trojan Zeus, temido e muito conhecido, como o seu próprio nome sugere, é o rei do malware bancário. Ele surgiu pela primeira vez no ano de 2007 e foi causando estragos nas contas bancárias online de todo o mundo. No ano de 2011, seus desenvolvedores, sem nenhuma preocupação com as consequências do que isso poderia trazer, postaram seu código fonte para que todos pudessem ver. Tudo parecia indicar que esse seria o fim de Zeus, mas, na verdade, a divulgação do código do Zeus fez com que outros grupos cybercriminosos criassem novas variantes deste malware, como foi o caso do GameOver, Zitmo e outras ameaças similares.


    Trojan Chtronic e suas Atividades

    Depois de infectar um computador, o Chthonic, que é um temido e já popular trojan banking, coleta informações do sistema, rouba senhas salvas e os arquivos do registro e habilita o acesso remoto ao sistema para que os crackers possam controlar a máquina a distância. A coleta desta informação tem um propósito direto, que é furtar os dados bancários online para que os cybercriminosos possam acessar as contas das potenciais vítimas e realizar transações financeiras fraudulentas. Da mesma forma como os trojans bancários anteriores, o "Chthonic" é capaz de substituir a interface legítima dos bancos. Desta maneira, quando os usuários tentam iniciar a sessão na sua conta, terminam enviando de maneira involuntária suas credenciais aos cybercriminosos, sem se dar conta de que, na verdade, se trata de um site duplicado. Esta técnica é muito vantajosa para os criminosos, porque ela também permite que eles obtenham o código único da autenticação de dois fatores, uma vez que os usuários também inserem o código que chega no seu telefone através de mensagem SMS.


    Instituições Bancárias em Todo o Mundo Foram Afetadas

    Até dezembro de 2014, o Chthonic já havia afetado instituições bancárias no Reino Unido, Espanha, Estados Unidos, Rússia, Japão e Itália. No Japão, o malware está substituindo os avisos de segurança do banco com um script que permite que os cybercriminosos executem transações financeiras a partir das contas das suas vítimas. Na Rússia, os usuários infectados nem sequer podem acessar seu site do banco, porque o malware Chthonic redireciona os usuários para um site falso de phishing. No entanto, é válido esclarecer que para que o roubo de credenciais aconteça, o usuário primeiro deve estar infectado com o trojan em questão. Assim como ocorre com o malware tradicional, o Chthonic se infiltra nos computadores através de links maliciosos e arquivos anexos no e-mail. Em ambos os casos, a infecção acontece quando o usuário descarrega no seu computador arquivos com a extensão .doc infectados. Este documento contém um código malicioso, que explora de maneira remota uma vulnerabilidade presente no Microsoft Office ( falha esta que já tinha sido solucionada em abril deste ano). Isto quer dizer que o malware não poderá afetar computadores cujos sistemas operacionais estejam devidamente atualizados. Da mesma forma, os usuários que estão protegidos com alguns dos produtos da Kaspersky Lab também estão protegidos contra essa ameaça.


    Trojan "Neverquest"

    Descoberto em 2013, o "Neverquest" é um tipo de trojan que foi desenvolvido para sistemas bancários, que se espalha através de redes sociais, e-mails e protocolos de transferência de arquivos. O trojan tem a capacidade de reconhecer centenas de bancos on-line e outros sites que realizam transações financeiras. Quando um usuário infectado tenta entrar em algum desses sites, o trojan é ativado, permitindo o acesso dos cybercriminosos aos dados confidenciais da vítima. O trojan repassa as credenciais roubadas para um servidor de comando e controle. Uma vez que essas informações são recebidas pelo servidor, os cybercriminosos podem usar os dados para fazer login em contas afetadas através da computação de rede virtual (VNC). O sistema VNC é essencialmente um sistema de área de trabalho compartilhada, de modo que os cybercriminosos basicamente utilizam o computador da vítima para entrar no home banking desta pessoa, e em seguida efetuar o roubo. Dessa forma, torna-se praticamente impossível para o banco distinguir usuários legítimos de cybercriminosos.

    Quando um usuário utiliza algum computador infectado para visitar um dos sites da lista, o malware assume o controle da conexão do navegador com o servidor. Os criminosos podem obter nomes de usuários e senhas digitadas pelo usuário, podem também modificar o conteúdo de páginas da Web. Todos os dados digitados pelo usuário serão inseridos na página modificada e transmitidos para os usuários mal-intencionados. Uma vez que o invasor tem o controle da conta da vítima, ele pode esvaziá-la completamente, já que a conta está sob seu domínio e ele pode agir deliberadamente. No entanto, em muitas situações, os invasores estão movendo o dinheiro roubado por uma série de contas de várias vítimas. Para dificultar o rastreamento destas atividades, os cybercriminosos (bankers) depositam o dinheiro da conta de uma vítima em outra, em um procedimento que se repete diversas vezes antes de transferir o dinheiro para eles mesmos. Vale ressaltar que "Neverquest" apenas parece atingir aos usuários que utilizam os navegadores Internet Explorer e Mozilla Firefox, mas os criadores do trojan bancário disseram que ele pode ser modificado para atacar qualquer banco, a partir de qualquer lugar.


    Busca por "Palavras-chave" e Interceptação de Comunicações

    Além de tudo o que foi mencionado sobre "Neverquest", o malware também contém um recurso que procura por palavras-chave relacionadas a movimentações bancárias, enquanto o usuário navega em um computador infectado. Se um usuário visita um site que inclui alguma destas palavras-chave, o trojan é ativado e começa a interceptar as comunicações do usuário e posteriormente enviá-las de volta para os invasores. Se o site visitado for de um banco novo, os invasores adicionam a página a sua lista de sites que, de forma automática, ativam o "Neverquest". Esta atualização é enviada através de um comando, que esse trojan bancário repassa para todas as outras máquinas infectadas. De acordo com um relatório divulgado, o site Fidelity.com, uma das maiores empresas de fundos mútuos de investimento do mundo, parece ser um dos principais alvos do trojan de acordo com o relatório. O site oferece aos seus clientes uma longa lista de formas de gerir as suas finanças online, e isso dá aos usuários mal-intencionados a oportunidade de não apenas transferir fundos em dinheiro para suas próprias contas, mas também para jogar com o mercado de ações, usando as contas e o dinheiro das vítimas do Neverquest. Além do mais, o trojan também foi projetado para coletar dados de usuários infectados mesmo em sites não relacionados a finanças, incluindo o Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype e muitos outros.


    Proteção Contra as Atividades do "Neverquest"

    A proteção contra ameaças como o trojan "Neverquest" requer mais do que apenas um antivírus padrão. Em face de tamanha ameaça, os usuários precisam mesmo de uma solução dedicada, que garanta a segurança das suas transações. A solução tem de ser capaz de controlar um processo de busca em execução, e poder também evitar qualquer tipo de manipulação por parte de outras aplicações. De acordo com uma publicação constante no blog da Kaspersky, os cavalos de tróia bancários são como ratos: você chuta uma lata de lixo e seis deles saem correndo para todas as direções, ou seja, a capacidade de se proliferar é imensa. A maioria deles sobrevive a um período de tempo inferior a 14 horas, depois é dissipada e não volta mesmo. Mas há um quarteto nefasto, do tipo que não tem limites: Carberp, Citadel, SpyEye e, especialmente, o sempre presente Zeus. Vale lembrar que é bastante difícil escrever uma história diferente sobre esses malwares bancários, já que essencialmente todos eles fazem a mesma coisa. No entanto, é possível classificá-los em ordem aproximada de notoriedade.


    Saiba Mais:

    [1] Malware News - Net Security http://www.net-security.org/malware_news.php?id=2978

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L