Os laboratórios da FireEye, empresa de segurança guiada por inteligência, identificaram recentemente várias campanhas massivas de phishing visando usuários brasileiros de internet banking, por meio de Cavalos de Troia. Ao longo dos estágios destas campanhas, a que os especialistas da FireEye deram o nome de Metamorfo, inúmeras táticas e técnicas que buscam evitar a detecção e fornecer a carga maliciosa foram observadas.
Os especialistas da FireEye explicam como funcionam as duas principais campanhas, que buscam se aproveitar principalmente do desconhecimento das vítimas e as levam a executar arquivos maliciosos, pensando se tratar de softwares de segurança de bancos, faturas ou comprovantes de transferência eletrônica.
A campanha tem início com um e-mail que contém um simples anexo HTML. Neste anexo, uma atualização utiliza uma URL encurtada como o destino final. Assim que uma vítima clica no anexo, é automaticamente redirecionada para um site legítimo de armazenamento na nuvem, como o Google Drive ou o Dropbox, o que traz maior credibilidade ao processo.
No site de armazenamento, um arquivo no formato ZIP abrange quatro documentos maliciosos, um deles com uma nova aplicação de HTML incorporada (HTA). O usuário precisa descompactar o arquivo e clicar duas vezes neste documento executável para que a cadeia de infecção continue. Ao clicar estas duas vezes no documento, o arquivo malicioso é extraído sem que a vítima saiba.
Uma das principais características da campanha é a persistência, adicionando uma chave de registro na mesma pasta “Administrador”, extraindo documentos, renomeando arquivos e até criando uma nova chave persistente. Caso a vítima apenas delete estes documentos, é importante ressaltar que o malware tem a capacidade de recriar toda a cadeia e fazer o download do mesmo arquivo ZIP.
Com o Cavalo de Troia inserido, softwares de segurança e firewall podem ser impedidos. Uma análise dos programas em execução da vítima é feita rapidamente. O ciberatacante pode até visualizar a tela da vítima e tirar screenshots, por exemplo. Logo depois, traça uma rápida comparação com uma lista de sites de instituições financeiras brasileiras ou de moedas digitais. Caso a vítima esteja utilizando um destes sites no momento, o Trojan derruba o servidor.
A segunda campanha é muito parecida, apesar de mais avançada. Também é iniciada por emails, muitas vezes o phishing, que possuem links redirecionando a vítima para domínios legítimos ou comprometidos, por meio de uma URL encurtada como destino. Novamente, o mesmo processo – o usuário é encaminhado para um site de armazenamento, que hospeda um arquivo ZIP com documentos maliciosos.
O malware é capaz de coletar inúmeras informações das vítimas, como a versão, arquitetura e o nome do sistema operacional; antivírus e firewall instalados; lista de possíveis softwares bancários instalados; endereço de IP; entre outras. Também é capaz de alterar o valor da chave de registro.
Assim como o Trojan da primeira campanha, procura por bancos, instituições financeiras e moedas digitais brasileiras. O malware ainda exibe formulários falsos em sites de bancos, para interceptar as credenciais do usuário. Isso traz maior veracidade ao ataque.
A Motiva implementou um sistema de atendimento omnicanal da Zendesk para unificar a experiência do…
Na edição mais tecnológica da Copa do Mundo, a inteligência artificial (IA) tem se mostrado…
Por Leonardo Tristão Recentemente, passou a circular nos altos escalões corporativos um relatório provocativo intitulado "The 2028 Global…
A maioria das empresas que hoje investe em inteligência artificial não sabe exatamente quem deve…
A Datamint, startup brasileira de inteligência artificial (IA) voltada à gestão de ativos em operações…
Os consumidores ainda não estão preparados para permitir que agentes de inteligência artificial (IA) realizem…