Ataques de Cavalo de Troia crescem (agora com alvos escolhidos)

Segundo levantamentos dos nossos laboratórios, cerca de 5% de todos os computadores que acessam Internet Banking no Brasil estão contaminados ou já acessaram sites comprometidos com algum tipo de ameaça. Isso representa mais de 2,5 milhões de máquinas infectadas. Outra constatação é que, apesar das novidades em termos de crime cibernético, a tecnologia de ataque conhecida como ‘Cavalo de Troia’ do tipo RAT — sigla em inglês para Remote Access Trojan ou ferramenta de acesso remoto — continua crescendo e se especializando consideravelmente. Levando em consideração apenas o ano de2014, foram identificadas mais de 13 famílias de malwares desse tipo, algumas com mais de cinco variantes do mesmo ataque, chegando à geração de mais de 5.000 executáveis maliciosos que infectaram usuários no país.

Os ataques do tipo RAT são muito utilizados dada a dificuldade na rastreabilidade de sua origem, visto que a fraude é realizada por completo na máquina do próprio usuário. Os alvos são escolhidos de forma a conseguir a maior rentabilidade possível, isto é, de acordo com o valor financeiro disponível na conta corrente do usuário. Outro fator de sucesso da fraude é que a tecnologia utilizada possibilita ao criminoso corromper o sistema operacional do usuário, conseguindo assim dificultar o acesso do correntista a sua própria conta para verificação das transações realizadas.

A técnica de Cavalo de Troia de Acesso Remoto consiste em inserir um programa malicioso no sistema alvo, viabilizando um acesso remoto com privilégios ilimitados neste sistema. Geralmente, o método de infecção utiliza-se de mensagens de e-mail, de forma que o usuário é induzido a realizar o download e executar o arquivo sem suspeitar que se trata de um malware.

Grande parte destes ataques utiliza-se de dois componentes: um deles é operado pelo criminoso (client) e o outro é o componente que foi executado pelo usuário (server). No momento em que o componente servidor é executado, ele notifica ao componente cliente que há uma nova máquina disponível e pronta para ser operada.

Após a infecção, o programa permite o acesso remoto à máquina do usuário. Desta forma, o criminoso é capaz de realizar diversos tipos de operações, tais como:

•Obter dados sensíveis do usuário, como senhas e números de cartão de crédito;

•Executar ações no sistema, como o envio de e-mails e operações financeiras, em nome da vítima;

•Instalar outros programas maliciosos na máquina;

•Controlar dispositivos do sistema, como mouse, teclado, câmera e dispositivo de som;

•Capturar ações de digitação no teclado e mouse, além de imagens da tela em execução;

•Modificar, remover, realizar download e upload de arquivos do sistema;

•Usar a máquina para realizar ataques DDoS – Distributed Denial of Service, ou negação de serviço. Este ataque “escraviza” milhares de computadores que passam a sobrecarregar determinados sites escolhidos como alvo dos criminosos, deixando o serviço ofertado indisponível.

No caso de fraude bancária, no momento em que a conta corrente do usuário é acessada por meio do Internet Banking, o componente avisa o criminoso que a máquina está conectada e pode ser acessada.Neste momento o criminoso entra em ação, bloqueando remotamente qualquer operação na máquina do usuário, desde o fechamento do próprio navegador, exibição de mensagem de atualização do sistema, abertura do gerenciador de tarefas, chegando até mesmo a bloquear o desligamento do sistema de forma convencional, isto é, a máquina permanece ligada, a não ser que a fonte de energia seja desconectada.

Com estes recursos e bloqueios, o criminoso consegue acessar todas as transações disponíveis para o usuário e realizar transferências para contas em diversos bancos e em qualquer lugar do país.

Armadilhas e prevenção

Para evitar infecções deste e de outros tipos de Cavalos de Troia é fundamental que os usuários se conscientizem dos perigos e, definitivamente, deixem de cair nos folclores da Internet. Muitos foram infectados porque não resistiram à tentação de abrir o anexo de um email que prometia mostrar as fotos de uma famosa atriz nua. Outros caíram nas armadilhas das ‘mensagens de amor’, premiações inexistentes, casa própria, transferências milionárias, entre outros engodos que contam com a ganância, carência e curiosidade do ser humano para fazê-lo instalar um malware em seu computador.

Pense bem antes de abrir um anexo, acessar um site ou executar um arquivo, mesmo que o remetente seja ou pareça de pessoas de sua rede de contatos. Pode ser que o endereço da pessoa que enviou o e-mail tenha sido contaminado.

Sempre analise muito bem os e-mails e notificações das redes sociais antes de realizar qualquer download.Mantenha seu programa antivírus sempre atualizado. Ao acessar sites de bancos, instale o módulo de segurança fornecido pela instituição bancária, garantindo que seu computador esteja protegido no mesmo nível de segurança de seu banco.

*Alexandre Piton é diretor de Pesquisas da GAS Tecnologia.