Trojan brasileiro mira Internet Bankings

/ / Published in Informação, Security

(Temos ótimos desenvolvedores, não há dúvida)

Trojans com foco nos internet bankings não são novidade, e o Talos, grupo da Cisco focado em segurança e análise de ameaças avançadas, descobriu uma nova campanha, muito provavelmente criada por brasileiros, focada no acesso ao nossos bancos online.

Esta campanha foi direcionada à vários bancos sul-americanos na tentativa de roubar as credenciais dos usuários para permitir lucros financeiros ilícitos para os atores mal-intencionados. A campanha analisada pelo Talos é focada em usuários brasileiros, e também tenta permanecer sigilosa usando vários métodos de re-direção na tentativa de infectar a máquina da vítima. O trojan ainda usa múltiplas técnicas de análise e o payload final foi escrito em Delphi, o que é bastante incomum nestes casos.

Como é normal atualmente, o maior meio de infecção é através de e-mails falsos (SPAM), que neste caso é escrito em Português, e contém um anexo chamado BOLETO_2248_.html. Este anexo possui uma URL, que redireciona para outra URL, e então para outra, e outra, até que um arquivo .RAR é baixado. Descompactando e executando o .JAR (dois cliques) é iniciada a execução do código malicioso.

Trojan Brasileiro

Esse código baixa outros arquivos. O primeiro inclusive, é um arquivo não malicioso e assinado pela VMware, na sequencia outros componentes são baixados. Esta técnica permite escapar de alguns produtos de segurança que analisam apenas o primeiro arquivo (se esse for considerado seguro, os demais itens não são verificados).

Livro CCNA

Após instalado o foco do trojan, que possui uma série de funcionalidades, é monitorar se o usuário está acessando algum Internet Banking (entre eles estão Sicoobnet, Itaú, Banestes, Banrisul, Bando do Brasil, Caixa, Sicredi, Bradesco). E então o trojan é capaz interagir com a página e roubar os dados do usuário.

Acredita-se que o desenvolvimento seja brasileiro porque há strings em português no código, além do trojan comunicar-se com servidores hospedados no Brasil (Locaweb).

imageA descrição completa da análise do Trojan e outras informações podem ser encontradas no blog do Talos.

Até a próxima.

Tagged under: , , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Diferença conceitual (Firewall básico e Firewall por zona)
Como criar o CSR e adicionar um Certificado ao FTD (VPN RA)
Workshop IPv6 (FUNCERTI 2011)

You must be logged in to post a comment.