Como se proteger dos cavalos de Troia mais famosos?

CyberwarSegurança

A Trend Micro, empresa de segurança da informação, atenta às fragilidades dos bancos on-line e às ameaças digitais, listou alguns dos mais famosos cavalos de Troia que os agressores usaram e ainda estão usando. E ainda dá dicas de como se proteger deles.

2006 – ZBOT (também conhecido como Zeus)

Reconhecido como o mais famoso cavalo de Troia, é um toolkit que permite que um cibercriminoso crie um cavalo de Troia ou um malware disfarçado. O Zbot é usado para roubo de dados ou informações de contas. Monitora hábitos de navegação do usuário usando títulos da janela do navegador ou URLs da barra de endereços como acionadores de seus ataques. As variantes inserem um código JavaScript em páginas de sites bancários legítimos e coletam informações através de HTTP POST para URLs remotas. Em 2011, um código fonte de Zbot foi vazado em um site de compartilhamento de arquivos e rapidamente se espalhou em fóruns do submundo.

2007 – GOZI

O cavalo de Troia Gozi é um spyware que monitora o tráfego. Com suas funções de captura de tela e keylogging pode obter credenciais de login armazenadas em navegadores e aplicações de email. O Gozy usa um componente rootkit para ocultar os processos, arquivos e informações de registro relacionados.

2009 – CARBERP

Registra as teclas digitadas, parodia sites e deliberadamente deixa uma cópia de si mesmo em locais que não exigem privilégios de administrador. Ele é caracterizado como um malware dependente de um plugin pois depende de módulos baixados/incorporados para completar suas rotinas. Recentemente retornou com versões aprimoradas dispendiosas e variantes para aplicativos móveis disponíveis no mundo real. Baixa novos plug-ins para complementar suas rotinas de roubo de informações que ajudam um possível agressor a acessar remotamente um sistema infectado usado para monitorar sistemas de banco por Internet.

2009 – SPYEYE

Ele é famoso por roubar informações do usuário relacionadas a sites financeiros e bancários. Suas variantes podem ser baixadas sem o conhecimento dos usuários ao visitarem sites maliciosos, podendo também chegar através de spam. O SPYEYE tem recursos de rootkit que permitem que ele esconda os processos e arquivos dos usuários. Em 2011, um cibercriminoso na Rússia usou o SPYEYE para roubar mais de $3,2 milhões de dólares de várias organizações nos Estados Unidos.

2010 – SHYLOCK

Trata-se de um spyware que tenta substituir os números de contato de determinados bancos por números que são controlados pelos agressores – levando os usuários infectados a divulgar informações bancárias e pessoais aos agressores. Os usuários podem ficar infectados visitando sites maliciosos. Em 2014, a Agência Nacional do Crime anunciou a derrubada dos servidores comando-e-controle (C&C) do SHYLOCK.

2010 – CITADEL

toolkit do CITADEL permite que os agressores personalizem o cavalo de Troia segundo suas necessidades e infraestrutura de C&C. Em 2013, o CITADEL voltou, visando usuários do Japão e também serviços de email, como Gmail, Yahoo!, Japan mail e Hotmail.

2011 – TINBA

Os usuários são infectados por meio do exploit kit Blackhole, usando webinjects, ele rouba informações de logins de sites. O TINBA também foi vinculado a outras atividades, como money mules, sites pornográficos, hospedagem obscura na web e outros malware ladrões de informações.

2013 – KINS

Ele baixa um arquivo de configuração que tem uma lista de bancos visados, sites de drop zone e arquivos webinject. Rouba informações bancárias online, tais como credenciais do usuário injetando um código específico no navegador dos usuários quando acessam determinadas URLs em tempo real. O KINS então mostra popups que parecem legítimos, solicitando credenciais bancárias e outras informações, como números de seguro social.

2013 – VAWTRAK

Aparece como um arquivo ZIP anexo em golpes de engenharia social, especialmente e-mails de spam disfarçados como notificações de entrega de encomendas. Ele rouba informações armazenadas em clientes FTP, inclusive credenciais de login.  Em 2015, ocorreram ataques a instituições financeiras e bancárias nos Estados Unidos e Canadá.

2014 – EMOTET

O malware chega como um anexo em mensagens de grayware ou como um arquivo baixado sem saber pelos usuários, quando visitam sites maliciosos. Uma vez no sistema, ele baixa arquivos de componentes, inclusive um arquivo de configuração que contém informações de outros bancos visados. Em 2014, a atividade do EMOTET cessou mas reapareceu rapidamente em janeiro de 2015.

DYRE
Chamou a atenção do setor de segurança devido a sua capacidade de evitar o SSL, uma medida de segurança para sites de banco onlineDepois que o malware é instalado no sistema, ele pode monitorar e fazer capturas de tela das atividades do navegador, realizar ataques “man-in-the-middle” por meio de injeções no navegador, roubar certificados de segurança pessoais, roubar credenciais bancárias online e rastrear a localização da vítima através de STUN (Session Traversal Utilities for NAT). 

Como se proteger deles?

  1. Conheça a política de seu banco. Se receber uma notificação de banco on-line suspeita, verifique com a instituição financeira antes de responder a qualquer email.
  1. Livre-se de e-mails que trazem links e/ou anexos. Eles provavelmente são e-mails maliciosos que podem baixar um cavalo de Troia de banco on-line no seu sistema.
  1. Se você suspeitar de atividade de malware, mude suas senhas de banco on-line e outras credenciais imediatamente e informe seu banco sobre quaisquer transações fraudulentas. Faça o mesmo para qualquer conta que você possa ter acessado usando seu sistema infectado.
  1. Instale uma solução de segurança que cubra e-mail no seu escopo de proteção.
  1. Fique longe de postagens ou anúncios na mídia social relacionadas a notificações bancárias ou financeiras. Os cibercriminosos se aproveitam da natureza onipresente das plataformas de mídia social e atacam usuários desavisados.

Clique para ler a bio do autor  Clique para fechar a bio do autor