Nova fraude digital desvia mais de R$ 1,5 bi em uma semana

HOMESegurança

Os especialistas da Equipe de Pesquisa e Análise Global da Kaspersky Lab descobriram evidências de um ataque direcionado contra os clientes de um grande banco europeu. De acordo com os registros encontrados no servidor usado pelos invasores, ao que tudo indica, em apenas uma semana os criminosos virtuais roubaram mais de meio milhão de euros

Os especialistas da Equipe de Pesquisa e Análise Global da Kaspersky Lab descobriram evidências de um ataque direcionado contra os clientes de um grande banco europeu. De acordo com os registros encontrados no servidor usado pelos invasores, ao que tudo indica, em apenas uma semana os criminosos virtuais roubaram mais de meio milhão de euros de contas do banco.

segurança caveira

Os primeiros indícios dessa campanha fraudulenta, apelidada de Luuuk, foram descobertos em 20 de janeiro deste ano, quando os especialistas da Kaspersky Lab encontraram o servidor C&C (Controle e Comando) usado nos ataques. O painel de controle do servidor indicava sinais de um Trojan bancário usado para roubar dinheiro das contas dos clientes.

Os especialistas também detectaram logs de transações no servidor com informações sobre as contas e quanto foi retirado de cada uma delas. Ao todo, foi possível identificar mais de 190 vítimas, a maioria localizada na Itália e na Turquia. As quantias roubadas de cada conta, de acordo com os registros, variou entre 1,7 e 39 mil euros.

A campanha tinha pelo menos uma semana quando o C&C foi descoberto. Ela começou em 13 de janeiro de 2014. Nesse tempo, os criminosos virtuais roubaram mais de 500 mil euros. Dois dias depois da descoberta, os criminosos eliminaram todas as evidências que poderiam ser usadas para rastreá-los. No entanto, os especialistas acreditam que isso ocorreu por causa de mudanças na infraestrutura técnica usada na campanha maliciosa, resultando, de certa forma, no final da campanha Luuuk.

“Logo depois que detectamos o servidor C&C, entramos em contato com o serviço de segurança do banco e as autoridades competentes e enviamos todas as evidências que tínhamos para eles”, informou Vicente Diaz, pesquisador senior de segurança da Kaspersky Lab.

No caso do Luuuk, os especialistas têm motivos para acreditar que dados financeiros importantes foram interceptados automaticamente e as transações fraudulentas eram realizadas assim que a vítima entrava em sua conta bancária online.

“Não havia no servidor C&C informações sobre o malware específico usado nessa campanha. Contudo, muitas variações existentes do Zeus (Citadel, SpyEye, IceIX, etc.) têm os recursos necessários. Acreditamos que o malware usado na campanha pode ser uma variante do Zeus, que faz injeções sofisticadas da página web do banco, quando visitada a partir do computador das vítimas”, acrescentou Vicente Diaz.

O dinheiro roubado foi repassado para as contas dos criminosos de uma forma interessante e incomum. Nossos especialistas observaram uma peculiaridade na organização dos chamados “laranjas” (ou mulas): os envolvidos no golpe recebiam parte do dinheiro roubado em contas bancárias abertas especialmente para isso e faziam saques em caixas eletrônicos. Há evidências de vários grupos de “laranjas”, aos quais foram destinados somas de dinheiro diferentes. Um grupo foi responsável pela transferência de valores entre 40 e 50 mil euros; outro, entre 15 e 20 mil euros e, o terceiro, de no máximo 2 mil euros.

“Essas diferenças nas quantias confiadas aos diversos laranjas podem indicar níveis variados de confiança. Sabemos que, muitas vezes, os participantes desses esquemas enganam seus parceiros e somem com o dinheiro que deveria ser descontado. Provavelmente, os criminosos que comandam a operação Luuuk tentam reduzir o risco desses prejuízos criando diversos grupos com níveis de confiança diferentes: quanto mais confiável é um ‘laranja’, mais dinheiro ele pode movimentar”, disse ainda Vicente Diaz.

O servidor C&C vinculado ao Luuuk foi desligado logo após o início das investigações. No entanto, o nível de complexidade da operação MITB sugere que os atacantes continuarão procurando novas vítimas para essa campanha. Os especialistas da Kaspersky Lab estão empenhados na investigação contínua das atividades do Luuuk.
Kaspersky Fraud Prevention x Luuuk

As evidências reveladas pelos especialistas da Kaspersky Lab indicam que, muito provavelmente, a campanha foi organizada por criminosos profissionais. No entanto, as ferramentas maliciosas usadas no desvio do dinheiro podem ser combatidas com eficiência com o uso de tecnologias de segurança. Por exemplo, a Kaspersky Lab desenvolveu o Kaspersky Fraud Prevention, uma plataforma de vários níveis que ajuda as organizações financeiras a proteger seus clientes de fraudes financeiras online. Essa plataforma inclui componentes que protegem os dispositivos dos cliente de muitos tipos de ataque, incluindo ataques “Man-in-the-Browser”, além de ferramentas para ajudar as empresas a detectar e bloquear transações fraudulentas.


Clique para ler a bio do autor  Clique para fechar a bio do autor