Anda aí um novo malware que recorre a técnicas de camuflagem e parece pertencer a um sistema de segurança bancário legítimo, reveste-se de um dos módulos de segurança requeridos pelos bancos para os negócios na internet.
Para já, parece que o malware está focado nos bancos do Brasil. Apareceu primeiro em agosto, e foi visto pela IBM devido a uma série de ataques sofisticados a empresas e organizações do setor público, ataques esses que se baseiam na engenharia social.
Como funciona?
Primeiro o malware começa por fazer um "reconhecimento" base, que é o que nos testes de penetração se designa por "reconnaissance", e cujo objetivo é encontrar negócios relacionados ou que estejam numa cadeia de interesse. Depois é realizada uma chamada telefónica para alguém do negócio, e aí tenta-se redirecionar a vítima para um domínio online de forma a "checkar" o status do módulo de segurança. É uma alavanca para que o utilizador veja que há um módulo que necessita de ser atualizado. A vítima desde modo é levada a instalar um "novo" módulo de segurança, mas que é na verdade um instalador do Trojan CamuBot.
Depois aparece uma janela de instalação com o logotipo do banco, como se fosse algo legítimo, que irá ser executado. Com isto, o CamuBot vai poder escrever ficheiros dinâmicos na pasta do Windows de forma a estabelecer o módulo de proxy Socks baseado em SSH, tal como adicionar-se a si mesmo na firewall do Windows para parecer legítimo.
O próximo passo é o redirecionamento da vítima para um site de phishing, onde é-lhe pedido para se logar no sistema com as credenciais do banco; aqui, o domínio envia a informação da conta para os hackers por detrás do CamuBot.
Depois do módulo do proxy estar carregado, estabelece o port forwarding, segundo a IBM, e esta funcionalidade será depois usada para estabelecer a comunicação entre o dispositivo do user e o servidor. O túnel criado irá permitir que os atacantes direcionem o seu tráfego através da máquina infetada e depois usar o IP da vítima quando acederem à conta bancária
A nível de autenticação, o malware também é capaz de comprometer as drivers de autenticação e pedir à vítima que ative a partilha remota, o que faz com que os hackers consigam intercetar e roubar passwords.
O objetivo final do comprometimento de contas bancárias é usar a informação para clonar outras contas e desencadear o roubo de identidade, ou mesmo vender as contas na Dark Web.
Banking malware, including Trojans which steal your online credentials and screen grabbers, usually place heavy emphasis on remaining undetected for as long a period of time as possible.
