Operações bancárias online oferecem uma maneira prática para realizar transações sem ter que ir pessoalmente aos bancos. As plataformas de banco online se tornaram tão fáceis que até mesmo os banqueiros tradicionais no uso de documentos em papel adotaram esse método de gestão de dinheiro.

Porém, o banco online não vem sem riscos. Por mais que ofereçam facilidade e conveniência, as plataformas de banco online deram aos fraudadores e cibercriminosos muitos outros caminhos para roubar usuários desavisados. Além disso, os cibercriminosos hoje levaram as coisas um pouco mais longe com o uso de malware bancário, especificamente cavalos de Troia, que estão chegando a novos e alarmantes níveis de sofisticação. Os agressores continuamente desenvolvem novas variações que são constantemente introduzidas no mundo real, evitando a detecção por soluções de segurança em dispositivos do usuário.

Durante os últimos anos, os cibercriminosos aprimoraram suas ferramentas e expandiram seus alvos em termos de escala e alcance. Para realizar uma operação de roubo bancário, os cibercriminosos precisam de um malware específico ou kits que podem ajudá-los a chegar a seus alvos. Esta é uma lista de alguns dos mais famosos cavalos de Troia que os agressores usaram e ainda estão usando:

2006

ZBOT (também conhecido como Zeus)

Zbot, reconhecido como o mais famoso cavalo de Troia, é um toolkit de malware que permite que um cibercriminoso crie um cavalo de Troia ou um malware disfarçado. A família do malware Zbot é usada para roubo de dados ou para roubar informações de contas. Ele monitora os hábitos de navegação do usuário usando títulos da janela do navegador ou URLs da barra de endereços como acionadores de seus ataques. As variantes inserem um código JavaScript em páginas de sites bancários legítimos e coletam informações através de HTTP POST para URLs remotas. Os cibercriminosos podem usar as informações obtidas para roubar dinheiro diretamente da vítima ou vender as informações nos mercados do submundo. Além disso, depois que um PC é infectado, ele pode ser recrutado para fazer parte de uma botnet.

Em 2011, um código fonte de Zbot foi vazado em um site de compartilhamento de arquivos e rapidamente se espalhou em fóruns do submundo. O crescimento consequente do Zbot se tornou um enorme exemplo modular para outros cavalos de Troia que se seguiram. Nos anos seguintes ao evento do Zbot, muitos cibercriminosos usaram seu código e criaram variantes ou outras famílias de malware com recursos semelhantes. As variantes do Zbot são conhecidas por exibir um comportamento que pode ser visto como “contra sua natureza” para se juntar a infectadores de arquivos, apesar de algumas variantes terem sido projetadas para gerar receita através do modelo per-pay-click.

Algumas variantes Zbot ajustaram seu comportamento para escapar da detecção, inclusive usando cabeçalhos aleatórios, diferentes extensões de arquivo e mudanças em sua criptografia. Além disso, ele também aprimorou a maneira de se conectar a seus servidores C&C e foi visto usando o Tor e redes peer-to-peer.

2007

GOZI

O cavalo de Troia Gozi é um spyware que monitora o tráfego. Com suas funções de captura de tela e keylogging pode obter credenciais de login armazenadas em navegadores e aplicações de email. O Gozy usa um componente rootkit para ocultar os processos, arquivos e informações de registro relacionados.

2009

CARBERP

CARBERP é um cavalo de Troia de banco online que foi visto pela primeira vez em 2009. Ele foi feito para roubar credenciais do usuário, se engatando em APIs de rede em WININET.DLL, monitorando o comportamento de navegação do usuário. O CARBERP registra as teclas digitadas, parodia sites e deliberadamente deixa uma cópia de si mesmo em locais que não exigem privilégios de administrador. Ele é caracterizado como um malware dependente de um plugin pois depende de módulos baixados/incorporados para completar suas rotinas.

Em 2012, 8 indivíduos envolvidos com as operações do CARBERP foram presos pelo Ministério dos Assuntos Internos da Rússia. Porém, no ano seguinte ele retornou com versões aprimoradas dispendiosas e variantes para aplicativos móveis disponíveis no mundo real. Ele baixa novos plugins para complementar suas rotinas de roubo de informações que ajudam um possível agressor a acessar remotamente um sistema infectado usado para monitorar sistemas de banco por Internet.

SPYEYE

SPYEYE é famoso por roubar informações do usuário relacionadas a sites financeiros e bancários. Suas variantes podem ser baixadas sem o conhecimento dos usuários ao visitarem sites maliciosos, podendo também chegar através de spam.

O SPYEYE tem recursos de rootkit que permite que ele esconda os processos e arquivos dos usuários. Como outros cavalos de Troia, ele usa funções de keylogging para roubar informações. Ele se conecta a vários sites para enviar e receber detalhes. Em 2011, um cibercriminoso na Rússia usou o SPYEYE para roubar mais de $3,2 milhões de dólares de várias organizações nos Estados Unidos.

Em 2014, o Departamento de Justiça dos EUA anunciou que o criador do SPYEYE, Aleksandr Andreevish Panin (conhecido como Gribodemon ou Harderman) se declarou culpado das acusações relacionadas à criação e distribuição do SPYEYE.

2010

SHYLOCK

SHYLOCK é um spyware que tenta substituir os números de contato de determinados bancos por números que são controlados pelos agressores – levando os usuários infectados a divulgar informações bancárias e pessoais aos agressores. Os usuários podem ficar infectados visitando sites maliciosos. O SHYLOCK rouba informações bancárias online sensíveis, tais como nome e senhas do usuário. Em 2014, a Agência Nacional do Crime anunciou a derrubada dos servidores comando-e-controle (C&C) do SHYLOCK.

CITADEL

CITADEL é um cavalo de Troia bancário que foi visto pela primeira vez em 2010. O toolkit do CITADEL permite que os agressores personalizem o cavalo de Troia segundo suas necessidades e infraestrutura de C&C. Em 2013, o CITADEL voltou, visando usuários do Japão e também serviços de email, como Gmail, Yahoo!, Japan mail e Hotmail. Essas variantes são bem conhecidas por roubar credenciais de banco online de usuários, levando diretamente ao roubo.

2011

TINBA

O nome TINBA deriva da combinação das palavras “Tiny” e “Banker” (Minúsculo e Banqueiro). Os usuários são infectados através do exploit kit Blackhole, destinado principalmente a usuários da Turquia. Usando webinjects, ele rouba informações de logins de sites. O TINBA também foi vinculado a outras atividades, como money mules, sites pornográficos, hospedagem obscura na web e outros malware ladrões de informações.

2013

KINS

KINS, anunciado na web como “cavalo de Troia de nível profissional”, é essencialmente idêntico ao Zbot em termos de funcionalidade. Ele baixa um arquivo de configuração que tem uma lista de bancos visados, sites de drop zone e arquivos webinject. O KINS rouba informações bancárias online, tais como credenciais do usuário injetando um código específico no navegador dos usuários quando acessam determinadas URLs em tempo real. O KINS então mostra popups que parecem legítimos, solicitando credenciais bancárias e outras informações, como números de seguro social.

VAWTRAK

Visto pela primeira vez em agosto de 2013, o VAWTRAK chegou como um arquivo ZIP anexo em golpes de engenharia social, especialmente emails de spam disfarçados como notificações de entrega de encomendas. Ele rouba informações armazenadas em clientes FTP, inclusive credenciais de login. Em maio de 2014, o VAWTRAK foi visto visando usuários no Japão. Esse ressurgimento foi seguido por ataques a instituições fincanceiras e bancárias nos Estados Unidos e Canadá em 2015. Essas novas variantes, vistas nesse período, chegaram ao sistema do usuário através de emails de spam que usam informações de envio e emails de transações de passagens aéreas como isca.

2014

EMOTET

Esse spyware fareja pacotes de rede para roubar informações. Ele chega aos sistemas dos usuários através de emails de spam destinados a usuários online na Alemanha. O malware chega como um anexo em mensagens de grayware ou usuários maliciosos. Ele também chega como um arquivo criado por outro malware ou como um arquivo baixado sem saber pelos usuários, quando visitam sites maliciosos. Uma vez no sistema, o malware baixa arquivos de componentes, inclusive um arquivo de configuração que contém informações de outros bancos visados. Em dezembro de 2014, a atividade do EMOTET cessou mas reapareceu rapidamente em janeiro de 2015.

DYRE

O DYRE chamou a atenção do setor de segurança devido a sua capacidade de evitar o SSL, uma medida de segurança para sites de banco online. Como outros cavalos de Troia para banco online, ele chega ao sistema do usuário através de emails de spam com anexos maliciosos, em emails feitos para parecer uma notificação legítima de banco, normalmente com um arquivo PDF anexo. Depois que o malware é instalado no sistema, ele pode monitorar e fazer capturas de tela das atividades do navegador, realizar ataques “man-in-the-middle” através de injeções no navegador, roubar certificados de segurança pessoais, roubar credenciais bancárias online e rastrear a localização da vítima através de STUN (Session Traversal Utilities for NAT).

Principais Técnicas e Fluxo de Infecção

Os cibercriminosos usam vários métodos e técnicas para roubar informações. Desde truques de engenharia social tradicionais como phishing até técnicas de automação sofisticadas, essas são as técnicas mais comuns usadas pelos cibercriminosos:

1. Phishing – phishing é um método usado para obter informações sensíveis do usuário, normalmente fingindo ser um banco legítimo. Tipicamente feita por email, a mensagem pode parecer como se viesse de um banco, mas na realidade o anexo malicioso que vem com ela levará o usuário a um site falso projetado para roubar credenciais de login e senhas. Em 2014, uma campanha chamada “Smash and Grab” incitou os usuários a ver uma mensagem “segura” do banco JP Morgan. Os usuários que clicaram no link malicioso foram solicitados a digitar credenciais para acessar as contas do JP Morgan. Com o usuário consentindo ou não, o site falso tentava automaticamente instalar um cavalo de Troia DYRE em seus PCs.
2. Keylogger (via emails de spam) – uma família de malware spyware que tem a capacidade de capturar as teclas digitadas e enviar os dados capturados para servidores remotos. Os keyloggers também coletam o nome do host do sistema afetado. Ele baixa atalhos apontando para suas cópias permitindo sua execução automática em cada inicialização de sistema. Além disso, ele também pode baixar e executar arquivos maliciosos.
3. Contornar a autenticação de dois fatores – isso é feito de uma maneira bastante simples onde o malware modifica os sites dos bancos do alvo pedindo o número de telefone do usuário antes do código de autenticação. O usuário então recebe uma mensagem de texto contendo um link para uma aplicação Symbian falsa. Depois de instalado, o malware intercepta todas as mensagens de texto, especificamente de bancos, e as encaminha para um número separado controlado pelo agressor. Com todas as credencias em sua posse, o agressor pode agora usá-las para roubar o usuário ou realizar outras atividades maliciosas.
4. Sistema de Transferência Automática – ao invés de simplesmente roubar informações passivamente, os sistemas de transferência automática permitem que os cibercriminosos realizem na hora transações financeiras que podem esvaziar as contas bancárias do usuário sem o seu conhecimento. Os cibercriminosos não precisam mais das credenciais de login do usuário já que os sistemas de transferência automática permitem que transfiram fundos automaticamente das contas da vítima para as suas sem deixar rastros de sua presença.
5. Malware alterador de DNS – o malware é usado para adulterar o roteador e suas configurações de DNS, redirecionando os usuários para versões maliciosas dos sites financeiros ou bancários legítimos. Interceptando as páginas da web, os cibercriminosos podem roubar credenciais, números PIN, senhas, etc, das contas dos usuários.
6. Man-in-the-browser (MitB) – o ataque MitB infecta o dispositivo do usuário, injetando novos códigos HTML nas páginas da web servidas pelo servidor da web e capturando as informações diretamente da memória do navegador. Alguns MitBs injetam campos adicionais à página de login pata obter mais informações das vítimas.

O Submundo: O que está à venda?

Os últimos anos presenciaram muitas mudanças em como os toolkits e exploits são usados. O Exploit Kit Blackhole, por exemplo, não fornecerá o kit a você mas, em vez disso, o instalará em um servidor, usando o ioncube para codificar arquivos PHP para proteger suas criações. Hoje em dia é bem raro ser capaz de comprar um kit com uma taxa boa de infecção, a menos que você queira usar uma versão mais antiga. Na América Latina, os cibercriminosos não usam mais servidores sequestrados para hospedar servidores C&C, ferramentas de spam e outras atividades maliciosas. Ao invés disso, usam seus “próprios” data centers em todo o mundo. Mais ainda, para evitar o radar de indexação do Google, não registram qualquer nome de host/domínio para esses servidores e usam, em vez disso, apenas endereços de IP.

Em 2013, um estudante universitário de Ciência da Computação, cujo nome no submundo era Filho de Hakcer (com hacker escrito errado) e que agora é conhecido como Lordfenix, começou a criar cavalos de Troia de banco online. Desde então, ele continuou a desenvolver e vender cavalos de Troia bancários, chegando a mais de 100 diferentes cavalos de Troia que custam cerca de 320 dólares. Lordfenix continua sendo o último dos criadores de malware de banco online de uma série de jovens cibercriminosos individuais de hoje.

Em junho de 2014, o FBI anunciou que um esforço internacional embargou as atividades da variante peer-to-peer (P2P) do Zbot conhecida como “Gameover”, uma variante famosa por sua resiliência a remoções. Baseado na investigação da Trend Micro, o Gameover não foi vendido para indivíduos, mas era operado privadamente. Isso significa que apenas um Gameover está sendo executado, comparado às múltiplas botnets que alimentam as variantes Zbot.

O que os usuários podem fazer?

• Conheça a política de seu banco. Se receber uma notificação de banco online suspeita, verifique com seu banco antes de responder a qualquer email.
• Livre-se de emails que trazem links e/ou anexos. Eles provavelmente são emails maliciosos que podem baixar um cavalo de Troia de banco online no seu sistema.
• Se você suspeitar de atividade de malware , mude suas senhas de banco online e outras credenciais imediatamente e informe seu banco sobre quaisquer transações fraudulentas. Faça o mesmo para qualquer conta que você possa ter acessado usando seu sistema infectado.
• Instale uma solução de segurança que cubra email no seu escopo de proteção.
• Fique longe de postagens ou anúncios na mídia social relacionadas a notificações bancárias ou financeiras. Os cibercriminosos se aproveitam da natureza onipresente das plataformas de mídia social e atacam usuários desavisados.