Ataque ‘simula’ telas do Itaú, Santander, Bradesco, Caixa e BB

A empresa de cibersegurança Tempest está monitorando um malware bancário que tem como alvo as principais instituições bancárias do Brasil, como Itaú, Santander, Bradesco, Caixa e Banco do Brasil. A ameaça, segundo a equipe de Threat Intelligence, se baseia na sobreposição da tela do Internet Banking para executar transações fraudulentas enquanto o usuário acessa o site do banco.

Caso o usuário de internet banking esteja infectado, assim que ele acessa o serviço do banco, o cibercriminoso envia uma tela que sobrepõe a interface original do site sob o falso pretexto de que é necessário instalar um módulo de segurança. “Nessa tela, o fraudador pode requisitar quaisquer dados necessários para a realização de uma transação fraudulenta em nome da vítima, geralmente o pagamento de boletos”, explica a Tempest.

A equipe de inteligência também correlaciona este ataque a uma campanha de phishing massiva envolvendo mais de 120 mil vítimas na virada de 2018 para 2019 — mas, diferentemente daquela campanha, esta possui mecanismos de ocultação distintos e usa um aplicativo legítimo para Windows possivelmente adulterado para carregar o malware.

Phishing

O golpe começa com um phishing: caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. A armadilha acontece quando você entra nesse link e “acredita” no que vê.

“Assim que o usuário clica no link, ele faz o download e ativa um arquivo que inicia a execução de quatro scripts em cadeia, concebidos para fragmentar o ataque e torná-lo silencioso para as ferramentas de segurança”, explica a Tempest. “O primeiro script tem origem no arquivo original, é gerado em VBScript e armazenado na pasta C:\users\public do computador da vítima. Este componente possui duas funções: a primeira é enviar uma requisição ao servidor do fraudador para que este contabilize uma nova vítima infectada – outro “contador” deste tipo foi encontrado. A segunda função desse script é executar outro VBScript a partir de um servidor na Internet controlado pelo fraudador. Entretanto, essa requisição só é respondida pelo servidor se for executada em um formato específico. Ao limitar o formato de comunicação o fraudador insere mais uma camada de ocultação à ameaça, pois sua parte server só irá se comunicar com quem fizer a solicitação no formato correto”.

Os cibercriminosos por trás do golpe também utilizam o WinGUp para ativar o malware. Foi possível comprovar pela checagem do hash dos arquivos que a versão da ferramenta que é instalada nos computadores das vítimas é diferente dos releases oficiais, o que pode ser uma evidência de que o WinGup foi adulterado ao fazer parte da ameaça. Com a ameaça ativada, o fraudador receberá uma notificação assim que a vítima acessar seu Internet Banking.

Os pesquisadores da Tempest ainda tiveram acesso ao painel usado para contabilizar dados de vítimas e operadores. De acordo com a equipe, há um contador de downloads, além do contador de infectados mencionado anteriormente e estas interfaces também informam a data e hora da execução de comandos, o servidor de comando e controle usado em cada operação, o endereço IP do fraudador que operou o RAT, o nome do computador do operador, o endereço IP da vítima criptografado e a instituição financeira afetada.

Vale notar que, até o momento, somente um dos arquivos da ameaça era apontado como malicioso por uma dentre as 69 engines do Virus Total e o painel contabilizava 2,8 mil vítimas que são correntistas de nove instituições financeiras.

Além de contar com uma boa ferramenta de segurança para auxilio na rotina, é importante entender como funcionam os phishing para não cair em golpes.

Fonte: Tecmundo



Comentários

Comentários

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.