Hacker brasileiro oferece Cavalos de Troia bancários como serviço

CyberwarFirewallGestãoSegurançaVírus

A empresa de segurança da informação Trend Micro acaba de mapear no mercado de ofertas do submundo digital brasileiro, o malware do tipo Cavalo de Troia bancário. Ele possui infraestrutura completa e totalmente funcional, e pode ser alugado pelos usuários.

De acordo com a Trend Micro, uma ameaça especial chamou sua atenção:  um dos criminosos que atende pelo codinome “Ric”, cobra R$ 2 mil por cada dez dias de uso do Trojan. O serviço inclui uma console abrangente, altamente capaz e bem concebida, além do método que dribla as etapas adicionais de autenticação utilizadas pelos bancos no Brasil.

Os cibercriminosos brasileiros são conhecidos por serviços de anúncios online e Ric não é diferente. Ele usa uma conta do YouTube para mostrar seus produtos. A descrição do canal contém mais informações: “Aluguel de Trojans bancários ou venda de código-fonte, mais de nove bancos suportados, versão 2016.”

Três vídeos analisados pela Trend Micro, mostram diferentes aspectos do Trojan bancário: Juntos, eles têm quase 1 mil views. Cada um contém um link que direciona para uma página com métodos de pagamento. De acordo com a Trend Micro, é provável que Ric trabalhe por conta própria e não faça parte de uma organização maior. Além disso, ele divulga também o seu nome de usuário do Skype para que os clientes interessados ​​possam negociar com ele.

Os clientes de Ric têm acesso também a um histórico de mudanças informativo do Trojan, que os avisa sobre quaisquer alterações/melhorias no malware. A Trend Micro detectou este Trojan em particular como BKDR_MANGIT.SM.

Uma tabela com todos os bancos “suportados” também é fornecida. Os maiores bancos do Brasil estão incluídos na lista, bem como sites de pagamento online e um site local de leilões. Provedores de Internet e de webmail também estão na lista.

O pacote inteiro é alugado por R$ 2 mil em um período de dez dias, relativamente caro para o mercado clandestino brasileiro, e inclui um painel de controle para operar/administrar as máquinas infectadas; o Trojan bancário; um loader para carregar o Trojan nas máquinas infectadas; um programa para atualização automática do Trojan; além de toda a infraestrutura necessária para realizar ataques bem-sucedidos.

Para os compradores que desejam ter total controle de seus ataques e possam montar sua própria infraestrutura, o código fonte está disponível por 30 mil reais.

Saiba como funciona o ataque

Os bancos brasileiros hoje protegem muitas contas com modelos de autenticação seja por mensagens SMS ou por um aplicativo autenticador, o token. Para contornar essa proteção, os hackers evitam essa autenticação por um acesso remoto que funciona da seguinte forma:

  1. Uma vez que o Trojan é instalado, o atacante tem domínio sobre a máquina da vítima
  2. Quando o site do banco é acessado, o atacante recebe um aviso (que pode ser enviado até mesmo por SMS)
  3. O atacante, em seguida, começa a observar a tela do computador da vítima, esperando que ela faça o login em sua conta bancária
  4. Depois disso, é bloqueada a tela da vítima e a mensagem faz com que a vítima pense que o site do banco está lhe pedindo para esperar
  5. O atacante assume o controle da máquina da vítima e começa uma transferência de dinheiro ou realização do pagamento de contas
  6. Quando o site do banco pede o token para o atacante, uma janela falsa aparece, fazendo a vítima acreditar que ela precisa digitar o token para continuar, mas na verdade, será entregue ao atacante.
  7. De posse do token, o atacante pode então completar a transação maliciosa a partir da máquina da vítima.

Ric pode obter ainda informações tais como código de segurança da vítima, token, aniversário, número de celular e outras informações pessoais, tudo isso usando janelas pop-ups falsas, idênticas as do banco. O aplicativo é completo e se comporta de forma muito parecida a uma ferramenta profissional.

A Trend Micro tem poucas pistas sobre o perfil de Ric, o que pode ser afirmado é que seu “trabalho” é de alta qualidade. Tudo é codificado a partir do zero e, por vezes, packers (compressores de executáveis) são usados ​​para proteger seus arquivos. Algumas mostras também foram assinadas com certificados para tentar contornar softwares de segurança.

Ric tem pelo menos outros três apelidos e provavelmente está localizado no norte do Brasil, região conhecida por um histórico em atividade cibercriminosa. Ainda, segundo os pesquisadores de segurança da Trend Micro, até o momento o hacker mantém-se ativo.


Clique para ler a bio do autor  Clique para fechar a bio do autor