Há postagens feitas, anteriormente, sobre este trojan bancário. Ele chamou a atenção de uma equipe de pesquisadores de segurança, quase tão rapidamente como apareceu. Isso porque ele usou um mecanismo de propagação no estilo "fileless" - o código malicioso não foi salvo no disco rígido e foi executado apenas na memória. No entanto, até agora nenhuma descrição detalhada em relação ao Lurk tinha sido publicada.
Qual o Diferencial do Trojan em Questão em Relação aos Outros?
O trojan banking Lurk possui características muito peculiares, quando se trata de malware concebido para roubar o dinheiro de clientes do banco. Esse cavalo de tróia evoluiu de forma bastante ativa há mais de cinco anos, mas ele funciona seletivamente - isto é, a praga só entra em ação nos computadores onde pode roubar o dinheiro. Nos mais de cinco anos que tem estado em plena atividade, cerca de 60.000 bots foram registrados no servidor de C & C, o que não é considerado um número enorme. Além disso, Lurk é um trojan banking versátil - pode roubar o dinheiro não só do sistema iBank 2, que é usado por muitos bancos russos, mas também dos sistemas bancários on-line exclusivos de alguns grandes bancos russos. Eles espreitam ativamente e se mostram muito resistentes a processos de detecção; isso é porque os seus desenvolvedores trabalham duro para minimizar quaisquer detecções de seu Trojan.
Com base nos métodos de organização interna utilizados no malware, seu conjunto de recursos e da frequência com que ele é modificado, pode-se concluir que uma equipe de desenvolvedores profissionais e testadores está trabalhando no projeto, para torná-lo uma ameaça mais forte e bastante sofisticada. Isso não quer dizer que o Trojan seja particularmente bem elaborado, pois nesse mesmo contexto, é possível saber da existência e em seguida fazer uma análise de trojans bankers com muito mais qualidade de código. Além disso, a análise feita em relação ao trojan Lurk, mostrou que vários programadores com diferentes níveis de qualificação têm trabalhado intensamente para implementar melhorias no código. Os desenvolvedores, claramente, fizeram algumas escolhas erradas em relação à localização, que permaneceram não corrigidas por anos. Vale a pena ressaltar que os criadores de malware estão muito empenhados em desenvolver seu produto e dessa forma, é possível perceber que a qualidade do código tem melhorado ao longo do tempo, e as soluções escolhidas pelos desenvolvedores melhoraram em termos gerais.
Definição Relacionada ao Comportamento do Trojan Lurk e Direcionamento para Investidas Maliciosas
O que define exatamente o trojan Lurk, é o fato de que ele é altamente segmentado - os seus criadores fazem o seu melhor para garantir que o maior número de vítimas de seu interesse possa ser atingido o quanto possível quando se trata de infectá-las, sem chamar a atenção de analistas e pesquisadores. Os incidentes conhecidos pelos pesquisadores de segurança faz crer que eles se escondem de uma forma muito bem sucedida, a partir da intenção para a qual ele foi projetado. Em meio a tudo isso, os pesquisadores receberam, regularmente, relatos de roubos contra sistemas bancários online e investigações forenses realizadas depois dos incidentes, revelaram rastros de Lurk nas máquinas afetadas.
Vítimas do Cybercrime
Em relação a qual segmento de vítimas os cybercriminosos demonstram ter um forte interesse, é possível mencionar as organizações de TI que trabalham no campo das telecomunicações; meios de comunicação e agregadores de notícias; bancos e demais instituições financeiras. Além disso, computadores comprometidos e empresas de telecomunicações fornecem aos cybercriminosos por trás do trojan Lurk, novos servidores de transferência através do qual o tráfego vai para servidores dos atacantes. Os meios de comunicação e sites agregadores de notícias, particularmente aqueles visitados através de "accountants", são usados para infectar um grande número de usuários que o cavalo de troia Lurk tenha como "público-alvo". Bancos e organizações financeiras são de interesse para os cybercriminosos que estejam em conexão com o seu principal objetivo - roubar dinheiro e cada vez mais, alavancar sua rentabilidade com essas práticas. Lembrando que não haverá comentários sobre as razões por trás de tentativas dos criadores de malware em obter uma posição sobre as máquinas que trabalham dentro das agências de segurança (estas organizações também estão entre os visados pelo trojan Lurk).
Metas do Trojan Incluem Quatro Maiores Bancos Russos
Os cybercriminosos utilizam muito bem a técnica bastante conhecida de drive-by downloads, que é usada para distribuir o trojan bancário Lurk. Além disso, os cybercriminosos distribuem o trojan através de sites comprometidos com software legítimo, e através de redes corporativas - a partir do utilitário psexec. Além do mais, Lurk é distribuído através da utilização do kit exploit Angler (os cybercriminosos passaram a chamá-lo de XXX). Com este método de distribuição, os usuários não têm que fazer nada em particular para que os seus computadores se tornem infectados. Angler é legitimamente considerado o carro-chefe dos exploit packs: os exploits para novas vulnerabilidades são quase sempre, em primeiro lugar, implementados através do kit exploit Angler e só depois dão continuidade as suas ações através de exploit packs. Vale ressaltar que os exploits voltados para as vulnerabilidades de 0-day são também muitas vezes implementados no Angler, fazendo com que o exploit pack se torne particularmente ainda mais perigoso. A preparação para infectar novas vítimas com Lurk geralmente é realizada da seguinte forma: um site que seja de interesse para o público-alvo é selecionado. Esta seleção ser feita através de uma placa de mensagem para "accountants", um portal de notícias, etc. O site que estiver infectado, irá colocar furtivamente um link sobre ele que leva até a página de destino do exploit pack. Se a tarefa de infectar o site for impossível, um link malicioso é colocado no banner de algum "programa de afiliados" que é mostrado no site.
Dessa maneira, os usuários que visitam o site são redirecionados para a página de destino do exploit pack sem que haja o conhecimento do usuário. O kit exploit Angler tenta explorar alguma vulnerabilidade no software instalado no computador do usuário, o que deve resultar na execução do downloader Lurk.
Exemplo de um Ataque a um Banco
Durante a pesquisa realizada, foi possível detectar um ataque do trojan Lurk a um grande banco russo, que estava usando o módulo w3bank para realizar injeções web. Os pesquisadores envolvidos nos trabalhos de detecção e identificação, foram capazes de obter os certificados dos injections. Os arquivos dos scripts de infecção têm nomes idênticos para diferentes sistemas bancários online remotos (content.min.js), mas um GUID diferente, já que este é gerado de forma aleatória. Este script intercepta as informações de autenticação introduzidas no sistema bancário remoto. Quando o usuário efetua login no sistema bancário remoto, seu nome de usuário e senha são interceptados. Após a autenticação bem sucedida, uma sessão paralela é criada (sem o conhecimento do usuário) e no qual Lurk digitaliza as páginas bancárias e faz pesquisas relacionadas ao nome do titular do cartão e o número de telefone que estiverem associados ao referido cartão. O script malicioso recolhe todas as informações necessárias para fazer um pagamento utilizando o sistema bancário on-line, ou seja, os serviços de Internet Banking, já que está de posse das credenciais de login daquele cartão. Esta informação é então enviada para o servidor C & C, cujo endereço é idêntico ao endereço de rede do servidor que se comunica com o módulo central.
Saiba Mais:
[1] Securelist https://securelist.com/blog/research...ly-for-russia/