Clientes BB, Bradesco e Sicredi na mira do malware

Clientes do Bradesco, do Banco do Brasil e da cooperativa de crédito Sicredi estão na mira de uma nova campanha de hackers: eles buscam instalar nos dispositivos das vítimas uma ferramenta chamada RADMIN para controlá-los, utilizando para isso malwares ‘fileless’ (leia o quadro), ou seja, que residem apenas na memória RAM. A campanha foi descoberta por especialistas da TrendMicro, e o objetivo é roubar credenciais bancárias.

O malware, destinado também a bancos de Taiwan, usa vários anexos “.BAT” para abrir um endereço IP. Em seguida, faz o download de um PowerShell contendo o trojan bancário e instala ferramentas para extrair os dados dos usuários. Juntamente com o RADMIN, para controle do dispositivo,  as ferramentas incluem uma para roubo de informações. Ela é capaz de verificar strings relacionadas aos bancos na mira dos bandidos e outras conexões associadas, para determinar se deve ou não direcionar o usuário para uma página falsa na web. A TrendMicro não encontrou dados roubados durante sua análise. No entanto, esses dados após roubados tendem a ser usados para atividades fraudulentas, incluindo sua revenda na Dark Web para que hackers realizem novos crimes. 

Um ataque de malware sem arquivo pode começar por uma ação iniciada pelo usuário, como clicar em um anúncio de banner que abre um redirecionamento para acessar o Flash, que então utiliza outros aplicativos no dispositivo. Os ataques de malware sem arquivo existem na RAM de um dispositivo e geralmente acessam e injetam código mal-intencionado em ferramentas padrão do Windows, como o PowerShell e o Windows Management Instrumentation (WMI). Esses aplicativos confiáveis podem executar tarefas do sistema para vários pontos de extremidade, o que os torna alvos ideais para ataques de malware sem arquivo. Por exemplo, a violação Equifax foi executada com um ataque de malware sem arquivo usando o aplicativo Apache Struts.

Assim que se instala num dispositivo, o malware baixa os códigos do PowerShell, executa e se conecta a outras URLs, extrai e renomeia arquivos. Os arquivos renomeados ainda aparecem como genuínos, marcados como executáveis e como arquivos de imagem. O sistema, em seguida, reinicia algumas vezes, quando arquivos .LNK caem na pasta de inicialização. Ao criar uma tela de bloqueio, o usuário é levado a digitar seu nome de usuário e senha e, a partir daí, o roubo de credenciais é iniciado. O malware envia as credenciais para o servidor de comando e controle e exclui todos os arquivos inseridos e criados, removendo assim todas as pistas e provas.

Em seguida, ele executa outro trojan, identificado como TrojanSpy.Win32.BANRAP.AS, que abre o Outlook e extrai os dados para enviar ao servidor. Nesse ponto, o RADMIN cria uma uma pasta (deixando um arquivo chamado RDP Wrapper na área de trabalho), permitindo que o hacker tenha acesso total ao sistema, ganhe direitos de administrador e acompanhe as atividades do usuário sem ser notado. Após a reinicialização, ele exclui os arquivos recém-instalados para novamente remover suas pistas e os substitui por arquivos  .LNK contaminados. A seguir carrega o trojan para aplicativos da Web. É com isso que ele captura credenciais quando os usuários fazem login no seu banco.

 

406Shares

, , ,

Comments are closed.