• +55 61 98170-3055
  • contato@securitylabs.com.br
  • CLN Qd. 305, Bl C, N° 34 - 1° andar, CEP: 70.737-530 Brasília/DF

    • News

    22
    junho

    Três coisas a saber sobre trojans bancários

    As falências de três grandes bancos no início deste ano provocaram ondas de choque no público. Uma crise bancária deixa (quase) todo mundo nervoso, o que, por sua vez, cria novas oportunidades para engenharia social, phishing e outros ataques destinados a obter seu dinheiro. Um ataque que ainda não cobrimos é o Trojan bancário, que é um tipo de malware muito interessante e perigoso.

    O número de Trojans bancários em estado selvagem está crescendo rapidamente, e muitos deles estão ficando mais sofisticados. Os cavalos de Tróia são distribuídos para sistemas de desktop e dispositivos móveis por meio de lojas de aplicativos, anexos de e-mail, sites comprometidos e outros métodos que induzem o usuário/vítima a concordar com a instalação. Por exemplo, você pode encontrar um aplicativo na Google Play Store que parece ser o aplicativo móvel do seu banco. Tem o logotipo e o nome adequados e parece legítimo. Infelizmente, este aplicativo é um Trojan de banco móvel Android que está representando o aplicativo móvel real. Não demorará muito para que este aplicativo seja encontrado e removido da Google Play Store, mas você o instala e concede todas as permissões solicitadas antes que isso aconteça. Agora você tem um aplicativo malicioso em seu smartphone, roubando todos os dados confidenciais que encontra.

    O que é um Trojan bancário?

    Um Trojan (abreviação de ‘ cavalo de Tróia’ ) é um tipo de software malicioso que parece ser útil, mas realiza ataques prejudiciais em segundo plano. Os cavalos de Tróia são projetados para diferentes funções , como roubar dados ou permitir o controle remoto de um sistema. Muitos cavalos de Tróia modernos executam dezenas de funções; portanto, muitos desses tipos diferentes se sobrepõem e a distinção não é tão importante quanto antes. No entanto, o Trojan bancário é identificado como tal porque foi criado com os recursos necessários para roubar dinheiro de contas online.

    Conforme mencionado anteriormente, o usuário/vítima que instala o Trojan geralmente pensa que é algo que deseja. Pode ser um aplicativo antivírus, um jogo para celular, um gerenciador de arquivos ou até mesmo um anexo habilitado para macro. É importante observar que a vítima instala o aplicativo voluntariamente porque, ao fazê-lo, concede todas as permissões de sistema solicitadas pelo aplicativo. O Trojan então explora essas permissões do sistema para realizar ataques e evitar a detecção.

    Ao longo dos anos, os agentes de ameaças adaptaram seu malware a novos designs de sistema, recursos de segurança bancária mais fortes e aos diversos aplicativos que as pessoas usam em seus telefones e computadores. Os agentes de ameaças continuaram a melhorar seus ataques e adicionar novos recursos para que o cavalo de Tróia possa ser mais eficaz em roubar dados e ocultar suas atividades.

    ferramentas do comércio

    Os Trojans bancários roubam informações armazenadas ou transmitidas pelo sistema. Isso requer que o Trojan seja capaz de acessar muitos subcomponentes em um sistema. O Zeus banking Trojan foi o primeiro de seu tipo quando foi identificado em estado selvagem em 2007. Não foi o primeiro malware infostealer , mas foi o primeiro Trojan a visar especificamente dados bancários e outros dados financeiros online. Foi também o primeiro a ‘fundir-se’ com um rival para que o desenvolvedor pudesse passar para coisas diferentes. O código-fonte do Zeus também vazou em um fórum de hackers , o que impulsionou o desenvolvimento das variantes do Zeus.

    O Zeus e outros Trojans bancários geralmente possuem uma combinação dos seguintes recursos:

    • Estabelecer comunicações com o servidor de comando e controle (C&C) do agente da ameaça para transmitir dados roubados e aceitar novas instruções
    • Capturar credenciais de login, fazer capturas de tela e registrar pressionamentos de tecla
    • Roubar informações de navegadores da Web e Windows PStore
    • Sequestro de sessões bancárias on-line para criar transações fraudulentas

    Os desenvolvedores continuam adicionando novos recursos aos cavalos de Tróia para que possam burlar a segurança, acessar mais tipos de dispositivos e subsistemas ou adicionar mais recursos, como recuperar atualizações automáticas do servidor C&C. Esse desenvolvimento contínuo beneficia mais do que apenas os operadores do malware atualizado. O código-fonte é frequentemente copiado por gangues rivais, então eles têm malware pronto para usar enquanto concentram seus esforços na implantação e melhorias/atualizações. Quase todos os cavalos de Tróia modernos são descendentes de algo que existe há muitos anos.

    Trojan bancário SOVA Android nos dá um bom exemplo de como isso funciona. Os pesquisadores observaram pelo menos três versões do SOVA em menos de dois anos, cada uma com novos recursos que tornam o malware mais eficaz. Em outubro de 2022, o desenvolvedor do SOVA adicionou os recursos para operar cliques na tela, lançar um ataque de ransomware, sobrepor uma tela em outros aplicativos móveis e se comunicar com um servidor de comando e controle para obter instruções. A SOVA tinha como alvo originalmente instituições nos Estados Unidos, Rússia e Espanha, mas rapidamente adicionou mais países à lista de alvos. Esse desenvolvimento e crescimento robustos chamaram a atenção do submundo do crime e das comunidades de pesquisa de segurança.

    Um novo Trojan bancário chamado Nexus foi encontrado no início deste ano, mas o malware pode estar ativo desde o verão de 2022. O Nexus inclui partes do código-fonte SOVA e pode realizar ataques de aquisição contra contas financeiras online. Esses ataques de controle de conta (ATO) são possibilitados por esses recursos principais:

    • Roubar códigos de autenticação de dois fatores de mensagens SMS e Google Authenticator. O Nexus também pode ativar/desativar esse recurso e excluir a mensagem SMS que contém o código.
    • Coleta de certos tipos de informações de carteiras criptográficas, como o saldo de uma conta e a frase inicial/senha principal da carteira.
    • Roubar cookies de sites direcionados . Os cookies incluem dados como o estado de login, preferências do site, conteúdo personalizado, etc. Os sites estão relacionados às instituições financeiras que o cavalo de Tróia foi projetado para atacar.
    • Execução de keylogging e ataques de sobreposição para roubar credenciais do usuário. Um ataque de Keylogging registrará as teclas digitadas enquanto você digita e enviará esses dados ao agente da ameaça. O ataque de sobreposição replicará uma janela ativa em uma janela de programa legítimo. Quando o usuário insere as credenciais no formulário de login, a janela falsa captura a entrada por meio do teclado ou as ações na tela sensível ao toque.

    O desenvolvedor SOVA “Sovenok” acusou um operador de botnet de roubar o código-fonte SOVA e disponibilizá-lo para desenvolvedores Nexus. Os pesquisadores encontraram fortes evidências para apoiar essa afirmação, a ponto de o Nexus já ter sido identificado como uma nova versão do SOVA. Os pesquisadores também encontraram partes do SOVA em outros Trojans bancários , sugerindo que o código-fonte foi disponibilizado para mais do que apenas os desenvolvedores do Nexus.

    Qualquer invasor com dinheiro suficiente pode usar o Nexus Trojan porque ele foi disponibilizado como Malware-as-a-Service (MaaS). Ao contrário do SOVA, o Nexus não pode ser usado contra alvos na Rússia e nos demais países da CEI . Isso é evitado por uma função ‘verificar país’ adicionada pelos desenvolvedores do Nexus.

    Se o código SOVA foi roubado e usado pelo Nexus, este é o exemplo perfeito de como um malware sofisticado pode ser roubado, reaproveitado e amplamente disponibilizado até mesmo para os invasores mais inexperientes.

    Distribuição

    Existem várias maneiras de um dispositivo ser infectado por um Trojan e sempre há mais métodos de distribuição em desenvolvimento. Você não deve considerar esta lista exaustiva, mas pode dar uma ideia de como a distribuição de malware pode funcionar.

    Aplicativos móveis

    O Google Play é popular entre os invasores devido ao grande número de usuários, aplicativos e downloads. O Google tem várias camadas de segurança para impedir que aplicativos infectados sejam carregados e para descobrir os aplicativos se eles chegarem à loja. No entanto, quando um aplicativo infectado é descoberto e removido, ele pode ter sido baixado por centenas de milhares de usuários. Se o Trojan infectar vários aplicativos, esse malware específico poderá ser instalado em centenas de milhões de dispositivos.

    Os aplicativos do Google Play também costumam ser encontrados em sites de aplicativos de terceiros , e esses sites podem não ter procedimentos de segurança para descobrir e extrair aplicativos infectados. Como resultado, um aplicativo infectado feito para o Google Play pode continuar sendo uma ameaça mesmo depois de ser removido da loja.

    Da mesma forma, um aplicativo infectado com malware dropper pode baixar malware adicional para um dispositivo. Como muitos agentes de ameaças desejam que seu malware esteja disponível por meio do Google Play, existe um mercado criminoso lucrativo para assinaturas de Dropper-as-a-Service (DaaS). Um exemplo é o DawDropper, que foi encontrado em dezessete aplicativos do Google Play em agosto de 2022. Os operadores do DawDropper fazem o trabalho pesado para construir a infraestrutura de assinatura e colocar seus aplicativos dropper no Google Play, e os assinantes do DaaS carregam seu malware para o serviço de nuvem DawDropper.

    Mensagens e e-mail

    SMS e mensagens de mídia social também são formas populares de espalhar cavalos de Tróia e outros malwares. Atores de ameaças criam uma mensagem sobre algo que precisa de atenção imediata. Entregas atrasadas/canceladas e atualizações de aplicativos são assuntos frequentemente usados ​​para essas mensagens. A mensagem normalmente inclui um link malicioso que infectará o dispositivo. Este foi o principal método de infecção para os Trojans bancários FluBot e Medusa .

    Documentos contendo uma macro maliciosa também podem ser usados ​​para espalhar Trojans bancários. Esses documentos são distribuídos por meio de ataques de spam e phishing. O ataque começa quando o destinatário abre o documento e habilita a macro ou clica em um link malicioso. Esta é uma das formas mais comuns de infectar um sistema com malware e foi o principal método usado pelos operadores do Dridex .

    Sites comprometidos e software infectado

    Publicidade on-line maliciosa, ou ‘malvertising’, é uma forma comum de infectar dispositivos móveis e computadores. Os criminosos criam um anúncio que inclui código malicioso ou injetam seu código malicioso em um anúncio legítimo existente. As redes de publicidade exibem esses anúncios sem saber que os anúncios estão infectados. O ataque ao usuário começa quando o navegador da web atinge o anúncio malicioso. O código exibirá pop-ups maliciosos solicitando aprovação para fazer algo (atualizar flash, mostrar notificações, etc.) ou pode simplesmente começar a instalar malware em seu sistema explorando quaisquer vulnerabilidades que encontrar em seu sistema. Esse tipo de ataque geralmente envolve um kit de exploração que instala o Trojan bancário ou outro malware.

    Por fim, você pode ser infectado baixando software pirateado, visitando sites incompletos ou navegando em um pen drive USB encontrado no estacionamento. Evite esse tipo de coisa.

    Proteja-se

    A melhor maneira de se proteger contra malware é defender todas as superfícies de ataque. Você pode implantar uma camada de proteção com software antimalware no dispositivo, mas os dispositivos da empresa precisam de várias camadas de defesa. O Barracuda Managed XDR detecta ameaças rapidamente e reduz o tempo de resposta e mitigação. O Barracuda SecureEdge fornece acesso seguro à Internet (SIA) para os dispositivos da empresa, independentemente de sua localização. O Barracuda Email Protection protege contra todos os 13 tipos de ameaças de e-mail e inclui ferramentas forenses e remediação pós-entrega.   

    Leave a comment