A empresa de cibersegurança Tempest está monitorando um malware bancário que tem como alvo as principais instituições bancárias do Brasil, como Itaú, Santander, Bradesco, Caixa e Banco do Brasil. A ameaça, segundo a equipe de Threat Intelligence, se baseia na sobreposição da tela do Internet Banking para executar transações fraudulentas enquanto o usuário acessa o site do banco.
Caso o usuário de internet banking esteja infectado, assim que ele acessa o serviço do banco, o cibercriminoso envia uma tela que sobrepõe a interface original do site sob o falso pretexto de que é necessário instalar um módulo de segurança. “Nessa tela, o fraudador pode requisitar quaisquer dados necessários para a realização de uma transação fraudulenta em nome da vítima, geralmente o pagamento de boletos”, explica a Tempest.
A equipe de inteligência também correlaciona este ataque a uma campanha de phishing massiva envolvendo mais de 120 mil vítimas na virada de 2018 para 2019 – mas, diferentemente daquela campanha, esta possui mecanismos de ocultação distintos e usa um aplicativo legítimo para Windows possivelmente adulterado para carregar o malware.
Phishing
O golpe começa com um phishing: caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. A armadilha acontece quando você entra nesse link e “acredita” no que vê.
“Assim que o usuário clica no link, ele faz o download e ativa um arquivo que inicia a execução de quatro scripts em cadeia, concebidos para fragmentar o ataque e torná-lo silencioso para as ferramentas de segurança”, explica a Tempest.
“O primeiro script tem origem no arquivo original, é gerado em VBScript e armazenado na pasta C:\users\public do computador da vítima. Este componente possui duas funções: a primeira é enviar uma requisição ao servidor do fraudador para que este contabilize uma nova vítima infectada – outro ‘contador’ deste tipo foi encontrado. A segunda função desse script é executar outro VBScript a partir de um servidor na Internet controlado pelo fraudador. Entretanto, essa requisição só é respondida pelo servidor se for executada em um formato específico. Ao limitar o formato de comunicação o fraudador insere mais uma camada de ocultação à ameaça, pois sua parte server só irá se comunicar com quem fizer a solicitação no formato correto”.
Os cibercriminosos por trás do golpe também utilizam o WinGUp para ativar o malware. Foi possível comprovar pela checagem do hash dos arquivos que a versão da ferramenta que é instalada nos computadores das vítimas é diferente dos releases oficiais, o que pode ser uma evidência de que o WinGup foi adulterado ao fazer parte da ameaça. Com a ameaça ativada, o fraudador receberá uma notificação assim que a vítima acessar seu Internet Banking.
Os pesquisadores da Tempest ainda tiveram acesso ao painel usado para contabilizar dados de vítimas e operadores. De acordo com a equipe, há um contador de downloads, além do contador de infectados mencionado anteriormente e estas interfaces também informam a data e hora da execução de comandos, o servidor de comando e controle usado em cada operação, o endereço IP do fraudador que operou o RAT, o nome do computador do operador, o endereço IP da vítima criptografado e a instituição financeira afetada.
No entanto, até o momento, somente um dos arquivos da ameaça era apontado como malicioso por uma dentre as 69 engines do Virus Total e o painel contabilizava 2,8 mil vítimas que são correntistas de nove instituições financeiras.
Além de contar com uma boa ferramenta de segurança para auxilio na rotina, é importante entender como funcionam os phishing para não cair em golpes. As informações são do Tec Mundo.
