Novo malware instala bots para roubar senhas e dados bancários dos usuários

Um novo malware descoberto por pesquisadores da IBM X-Force combina engenharia social e execução de códigos maliciosos para roubar senhas e acessos de clientes comerciais dos bancos brasileiros. Chamado pela equipe de “CamuBot”, ele consiste de um arquivo de instalação disfarçado de módulo bancário de segurança visando enganar o usuário a executar códigos que instalam um Cavalo de Troia em seus dispositivos.

Mais do que um simples executável com layout parecido aos dos principais bancos, o CamuBot traz uma camada de engenharia social em sua execução: segundo a X-Force, os invasores primeiro pesquisam empresas que teriam negócios com um banco específico para, em seguida, passarem-se por funcionários do banco e estabelecer contato telefônico com uma vítima que possa ter credenciais de relacionamento com ele. A partir daí, os hackers pedem que a pessoa acesse um site específico a fim de “verificar se o módulo de segurança está atualizado”. Evidentemente, eles dizem que não enviam um arquivo executável, instruindo a pessoa a instalar o malware.

Neste ponto, o executável, que falsifica toda a identidade visual do banco, roda a instalação do CamuBot em segundo plano; como parte do processo, ele se autoadiciona às regras de segurança do Windows e do antivírus como exceção a fim de evitar alarmes. Mais além, também estabelece dois arquivos na pasta "%ProgramData%" do Windows para instalar um módulo proxy de nome mutante, alterado a cada ataque, para dificultar o rastreamento.

“Para comunicar-se através da máquina infectada, o CamuBot estabelece um proxy SOCKS baseado em SSH. De acordo com a análise da X-Force, a DLL do módulo SSH é uma ferramenta gratuita que foi obtida através do GitHub. A DLL é nomeada "%TEMP%Renci.SshNet.dll. O módulo proxy é, então, carregado e estabelece o encaminhamento de porta. Esse recurso geralmente é usado em um túnel bidirecional de portas de aplicativos do dispositivo do cliente para o servidor. No caso do CamuBot, o túnel permite que os invasores direcionem seu próprio tráfego através da máquina infectada e usem o endereço IP da vítima ao acessar a conta bancária comprometida. Uma vez que a instalação é concluída, uma tela pop-up redireciona a vítima para um site de phishing que simula o portal de internet banking. Eles são solicitados a fazer login em sua conta e, assim, inadvertidamente, enviar suas credenciais para o invasor. Nesse momento, se as credenciais forem suficientes para uma invasão de conta, o invasor se desconecta"

A X-Force ainda relata que a engenharia social por trás do CamuBot pode até mesmo afetar usuários bancários que usam identificação biométrica.

Fonte: IBM X-Force