28 Agosto 2020
A Trend Micro, consultoria especializada na defesa de ameaças digitais e segurança em nuvem, descobriu que um malware do tipo Cavalo de Tróia bancário pode ser alugados por usuários mal intencionados a partir de R$ 2 mil.
O trojan é oferecido por um criminoso que atende pelo codinome "Ric". Ele cobra R$ 2 mil por cada 10 dias de uso do invasor em computadores alheios. "O serviço inclui um console abrangente, altamente capaz e bem concebido e um método que dribla as etapas adicionais de autenticação utilizadas pelos bancos no Brasil", consta no comunicado.
O serviço de hackeamento de internet banking é oferecido para os maiores bancos do país: Banco do Brasil, Santander, Caixa, Bradesco, Itaú, HSBC, Citibank, entre outros.
Quem contratar o serviço tem ainda acesso a um painel de controle para operar/administrar as máquinas infectadas, o trojan bancário, um loader para carregar o invasor nas máquinas infectadas, um programa para atualização automática do malware e uma infraestrutura necessária para realizar ataques bem-sucedidos.
Publicidade no Youtube
Os serviços de Ric têm uma ampla publicidade, sobretudo no Youtube. Em uma destes anúncios, ele informa conseguir invadir diferentes sistemas de quase dez bancos. "Aluguel de Trojans bancários ou venda de código-fonte, mais de 9 bancos suportados, versão 2016".
Os "clientes" do cyber criminoso também podem contar com suporte pelo Skype - bem como negociação de valores - e recebem também boletins informativos a respeito das mudanças do malware.
Como funciona o ataque
Para evitar a autenticação, seja por token ou SMS, os atuais ataques hackers, o de Ric, incluso, acessam o sistema de maneira remota. Segundo a Trend Micro, são estes passos seguidos geralmente:
- Uma vez que o trojan é instalado, o atacante tem domínio sobre a máquina da vítima;
- Quando o site do banco é acessado, o atacante recebe um aviso (que pode ser enviado até mesmo por SMS);
- O atacante, em seguida, começa a observar a tela do computador da vítima, esperando que ela faça o login em sua conta bancária;
- Depois disso, é bloqueada a tela da vítima e a mensagem faz com que a vítima pense que o site do banco está lhe pedindo para esperar;
- O atacante assume o controle da máquina da vítima e começa uma transferência de dinheiro ou realização do pagamento de contas;
- Quando o site do banco pede o token para o atacante, uma janela falsa aparece, fazendo a vítima acreditar que ela precisa digitar o token para continuar, mas na verdade, será entregue ao atacante concretizar as ações
- De posse do token, o atacante pode então completar a transação maliciosa a partir da máquina da vítima.
A Trend Micro informa ter poucas pistas sobre o perfil de Ric, mas analisa que o "trabalho" do hacker é profissional e de alta qualidade. "Tudo é codificado a partir do zero e, às vezes, packers (compressores de executáveis) são usados para proteger seus arquivos". E ainda uma péssima notícia para todos que usam internet online: o hacker mantém-se na ativa.
Comentários