(Temos ótimos desenvolvedores, não há dúvida)
Trojans com foco nos internet bankings não são novidade, e o Talos, grupo da Cisco focado em segurança e análise de ameaças avançadas, descobriu uma nova campanha, muito provavelmente criada por brasileiros, focada no acesso ao nossos bancos online.
Esta campanha foi direcionada à vários bancos sul-americanos na tentativa de roubar as credenciais dos usuários para permitir lucros financeiros ilícitos para os atores mal-intencionados. A campanha analisada pelo Talos é focada em usuários brasileiros, e também tenta permanecer sigilosa usando vários métodos de re-direção na tentativa de infectar a máquina da vítima. O trojan ainda usa múltiplas técnicas de análise e o payload final foi escrito em Delphi, o que é bastante incomum nestes casos.
Como é normal atualmente, o maior meio de infecção é através de e-mails falsos (SPAM), que neste caso é escrito em Português, e contém um anexo chamado BOLETO_2248_.html. Este anexo possui uma URL, que redireciona para outra URL, e então para outra, e outra, até que um arquivo .RAR é baixado. Descompactando e executando o .JAR (dois cliques) é iniciada a execução do código malicioso.
Esse código baixa outros arquivos. O primeiro inclusive, é um arquivo não malicioso e assinado pela VMware, na sequencia outros componentes são baixados. Esta técnica permite escapar de alguns produtos de segurança que analisam apenas o primeiro arquivo (se esse for considerado seguro, os demais itens não são verificados).
Após instalado o foco do trojan, que possui uma série de funcionalidades, é monitorar se o usuário está acessando algum Internet Banking (entre eles estão Sicoobnet, Itaú, Banestes, Banrisul, Bando do Brasil, Caixa, Sicredi, Bradesco). E então o trojan é capaz interagir com a página e roubar os dados do usuário.
Acredita-se que o desenvolvimento seja brasileiro porque há strings em português no código, além do trojan comunicar-se com servidores hospedados no Brasil (Locaweb).
A descrição completa da análise do Trojan e outras informações podem ser encontradas no blog do Talos.
Até a próxima.
You must be logged in to post a comment.