quinta-feira, 14 de julho de 2016

Trend Micro descobre Cavalos de Tróia Bancários ofertados como serviço por hacker brasileiro


Cibercriminosos são capazes de driblar método de autenticação e anunciam no YouTube os “serviços” oferecidos
  
São Paulo, julho de 2016 – A Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – acaba de mapear no mercado de ofertas do sub-mundo digital brasileiro, malware do tipo Cavalo de Tróia bancário com infraestrutura completa e totalmente funcional, que podem ser alugados pelos usuários.
Uma ameaça em especial, chamou a atenção da Trend Micro:  um dos criminosos que atende pelo codinome "Ric", cobra R$ 2000,00 por cada 10 dias de uso do Trojan. O serviço inclui um console abrangente, altamente capaz e bem concebido e um método que dribla as etapas adicionais de autenticação utilizadas pelos bancos no Brasil.

Anúncios
Os cibercriminosos brasileiros são conhecidos por serviços de anúncios online e Ric não é diferente. Ele usa uma conta do YouTube para mostrar seus produtos, como pode ser visto abaixo:


A descrição do canal contém mais informações: "Aluguel de Trojans bancários ou venda de código-fonte, mais de 9 bancos suportados, versão 2016."
Três vídeos analisados pela Trend Micro, mostram diferentes aspectos do Trojan bancário; juntos, eles têm quase 1.000 views. Cada um contém um link que direciona para uma página com métodos de pagamento. De acordo com a Trend Micro, é provável que Ric trabalhe por conta própria e não faça parte de uma organização maior. Além disso, ele divulga também o seu nome de usuário do Skype para que os clientes interessados ​​possam negociar com ele.
Os clientes de Ric têm acesso também a um histórico de mudanças informativo do Trojan, que os avisa sobre quaisquer alterações/melhorias no malware. A Trend Micro detectou este Trojan em particular como BKDR_MANGIT.SM.

Changelog do malware


Uma tabela com todos os bancos "suportados" também é fornecida:


Os maiores bancos do Brasil estão incluídos na lista, bem como sites de pagamento online e um site local de leilões. Provedores de Internet e de webmail também estão na lista.
O pacote inteiro é alugado por 2 mil reais em um período de 10 dias, relativamente caro para o mercado clandestino brasileiro, e inclui:
  • Um painel de controle para operar/administrar as máquinas infectadas;
  • O Trojan bancário em si;Um loader para carregar o Trojan nas máquinas infectadas;
  • Um programa para atualização automática do Trojan;
  • Toda a infraestrutura necessária para realizar ataques bem-sucedidos.

Para os compradores que desejam ter total controle de seus ataques e possam montar sua própria infraestrutura, o código fonte está disponível por 30 mil reais.

Como o ataque funciona
Os bancos brasileiros hoje protegem muitas contas com modelos de autenticação seja por mensagens SMS ou por um aplicativo autenticador, os chamados token.
Para contornar esta proteção, os hackers evitam essa autenticação por um acesso remoto que funciona da seguinte forma:
1. Uma vez que o Trojan é instalado, o atacante tem domínio sobre a máquina da vítima;
2. Quando o site do banco é acessado, o atacante recebe um aviso (que pode ser enviado até mesmo por SMS);
3. O atacante, em seguida, começa a observar a tela do computador da vítima, esperando que ela faça o login em sua conta bancária;
4. Depois disso, é bloqueada a tela da vítima e a mensagem faz com que a vítima pense que o site do banco está lhe pedindo para esperar;
5. O atacante assume o controle da máquina da vítima e começa uma transferência de dinheiro ou realização do pagamento de contas;
6. Quando o site do banco pede o token para o atacante, uma janela falsa aparece, fazendo a vítima acreditar que ela precisa digitar otoken para continuar, mas na verdade, será entregue ao atacante.
7. De posse do token, o atacante pode então completar a transação maliciosa a partir da máquina da vítima.

A imagem seguinte é de uma captura de tela do painel de controle:


Na imagem, Ric está controlando máquina de uma vítima e pode obter informações tais como seu código de segurança, token, aniversário, número de celular e outras informações pessoais, tudo isso usando janelas pop-ups falsas, idênticas às do banco. O aplicativo é completo e se comporta de forma muito parecida a uma ferramenta profissional.
A detecção de fraude, se torna ainda mais difícil quando as operações são orquestradas por meio da máquina de um cliente real como neste caso. Sem uma análise profunda do sistema, o que aparenta é que todas as transações são realizadas a partir do computador do usuário, o que mostra a urgência na criação de técnicas anti-fraude mais evoluídas.

Quem é Ric?
A Trend Micro tem poucas pistas sobre o perfil de Ric, o que pode ser afirmado é que seu "trabalho" é de alta qualidade. Tudo é codificado a partir do zero e, às vezes, packers (compressores de executáveis) são usados ​​para proteger seus arquivos. Algumas amostras também foram assinadas com certificados para tentar contornar softwares de segurança.
Ric tem pelo menos outros três apelidos e provavelmente está localizado no norte do Brasil, região conhecida por um histórico em atividade cibercriminosa. Ainda, segundo os pesquisadores de segurança da Trend Micro, até o momento o hacker mantém-se ativo.


Sobre a Trend Micro
A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proporcionar um mundo seguro para a troca de informação digital. Nossas soluções inovadoras para os consumidores, empresas e governos fornecem segurança em camadas para datacenters, ambientes em nuvem, redes e terminais.
Otimizadas para os principais ambientes, incluindo a Amazon Web Services, Microsoft®, VMware® e outros mais, nossas soluções permitem que as organizações automatizem a proteção de informações valiosas contra as ameaças atuais.
Todos os nossos produtos trabalham em conjunto para facilitar o   compartilhamento de inteligência de ameaças e fornecimento de uma defesa contra ameaças conectada com visibilidade e controle centralizados, permitindo uma melhor proteção melhor e mais rápida.
Dentre os clientes Trend Micro, estão 45 dos 50 principais da lista top 50 Fortune ® Global 500 companies e 100% das 10 maiores empresas globais dos setores automotivo, bancário de telecomunicações e petróleo.
Com mais de 5.000 funcionários em mais de 50 países e a mais avançada inteligência de ameaças globais do mundo, a Trend Micro permite que as organizações garantam a sua jornada para a nuvem. Para mais informações, visite www.trendmicro.com.

Informações sobre a Trend Micro para a imprensa:
RMA Comunicação
Cecília Ferrarezzi (cecilia.ferrarezzi@rmacomunicacao.com.br) - (11) 2244-5967
Sofia Lebrón (sofia.lebron@agenciarma.com.br) - (11) 2244-5912
Reações:

0 comentários:

Lava jata do gaúcho

Lava jata do gaúcho

Marcadores