Um Cavalo de Troia para suceder o Dyre aponta na pista

Um novo Cavalo de Tróia para fraudar operações bancárias foi lançado na internet, com semelhanças marcantes com o Dyre, que se acreditava ter sido extinto há quase um ano.

O novo programa é chamado TrickBot, e apareceu pela primeira vez em setembro, tendo como alvo os correntistas de bancos na Austrália. Após uma análise mais aprofundada, pesquisadores da Fidelis Cybersecurity acreditam que se trata de uma forma reescrita do Cavalo de Troia Dyre, que assolou usuários de serviços bancários on-line por mais de um ano, até que a gangue responsável por ele foi desmantelada pelas autoridades russas.

Embora o TrickBot ainda não tenha todos os recursos do Dyre, há semelhanças suficientes em seus componentes para sugerir que, pelo menos, um serviu de inspiração para o outro. Ao mesmo tempo, há também diferenças significativas na forma como algumas funções foram implementadas no novo programa, que também apresenta um código C ++ a mais que seu antecessor. Isto levou os pesquisadores da Fidelis a concluírem que o TrickBot é uma reimplementação do Dyre, em vez de uma continuação do antigo projeto.

“A nossa avaliação é de que existe uma ligação clara entre o Dyre e o TrickBot, mas há um considerável desenvolvimento novo no TrickBot”, publicaram os pesquisadores em um blog. “E acreditamos, com uma segurança moderada, que um ou mais dos desenvolvedores originais do Dyre estão envolvidos com o TrickBot.”

O Dyre, que roubou dezenas de milhões de dólares de clientes de mais de mil bancos, instituições financeiras e outras organizações em todo o mundo, desapareceu em novembro do ano passado. Em fevereiro, autoridades russas confirmaram que, alguns meses antes, haviam invadido uma produtora e distribuidora de filmes com sede em Moscou, que especialistas em segurança cibernética acreditavam estar por trás da disseminação do Dyre.

Como não há muitos detalhes disponíveis sobre a extensão desta ação, é possível que alguns desenvolvedores que trabalharam no Dyre tenham escapado e se juntado a outro grupo, possivelmente colaborando na criação do TrickBot.

Ainda não se sabe se este novo Cavalo de Troia vai atingir ou mesmo ultrapassar a dimensão da operação Dyre. De acordo com os pesquisadores da Fidelis, a quadrilha do TrickBot também está tentando reconstruir o botnet de spam Cutwail, que foi usado para espalhar o Dyre.

Cavalos de Troia para operações bancárias on-line são projetados para injetar um código malicioso em sites financeiros, quando exibidos localmente nos navegadores dos computadores infectados. O código não autorizado pode sequestrar operações que rodam em segundo plano, ou pedir aos usuários informações confidenciais, como detalhes de cartões bancários.

Os usuários devem executar um programa antivírus atualizado e, se possível, realizar transações bancárias on-line em um computador dedicado, com um sistema operacional executado em um CD ou em uma máquina virtual.