Sphinx: Cavalo de Troia bancário de $500 dólares surge no submundo

Um novo cavalo de Troia bancário chamado Sphinx tem aparecido no submundo cibercriminoso desde o final de agosto. Logo depois de ter sido colocado à venda, os administradores do fórum verificaram devidamente o malware recém lançado, que foi projetado para “farejar” credenciais bancárias sensíveis nos computadores.

Programado em linguagem C++, diz-se que o Sphinx é baseado no famoso malware bancário Zeus. Notável por aproveitar totalmente o anonimato da rede Tor, os desenvolvedores anunciaram o Sphinx como um cavalo de Troia de banco online com capacidade de evitar a detecção por ser imune a sinkholing, blacklisting e até à ferramenta de rastreamento do Zeus. Apesar dos criadores do malware terem afirmado que ele não precisa de uma hospedagem à prova de balas na operação da botnet, ainda assim é recomendado.

O banco online é um avanço tecnológico que oferece conveniência aos usuários em transações bancárias, fornecendo uma maneira mais fácil de gerenciar finanças, transferências e pagamentos. Mas não vem sem uma parcela de risco, especialmente com o número de ferramentas e técnicas cibercriminosas feitas para transformar usuários desavisados em vítimas.

Em uma postagem anterior, publicamos uma breve história de vários cavalos de Troia bancários famosos vistos no passado, notando sua contínua evolução desde os primeiros cavalos de Troia até o malware altamente sofisticado que é hoje.

O Sphinx, com esse anúncio recente, é visto como a mais recente de uma longa lista de variantes descobertas do Zeus. O cavalo de Troia anunciado foi inicialmente vendido por $500 dólares, com recursos que incluem form grabbing (malware que captura dados de formulários de navegadores), web injects do Internet Explorer, Mozilla Firefox e navegadores do Tor, um keylogger e também como um grabber FTP e POP3. Ele também inclui um capturador de certificado, que dá a capacidade de interceptar certificados quando estão em uso para escapar dos avisos de segurança e contornar o antimalware.

Os desenvolvedores observam que o Sphinx foi projetado para operar em computadores executando o Windows Vista and Windows 7 – mesmo nos que têm a configuração de Controle de Conta do Usuários (UAC) ativada. Isso significa que o Sphinx pode funcionar mesmo em contas de usuários com privilégios baixos. De acordo com os desenvolvedores, “quando você instala o Sphinx, o bot cria sua cópia no diretório home do usuário. Sua cópia é vinculada ao usuário e ao SO corrente e não pode ser executada por outro usuário. A cópia original do mesmo bot que foi usado para a instalação será automaticamente apagada, independentemente do sucesso da instalação”.

Além disso, seu painel de controle foi desenvolvido usando PHP e segue bastante o modelo Zeus usando extensões mbstring e mysql. Isso fornece ao operador relatórios extensos sobre o número de dispositivos infectados, bots online, novos bots, atividade diária do bot, e também o país e estatíscas do sistema operacional.

Por outro lado, a comunicação com o servidor usa uma “white list” interna que possibilita passar pelos firewalls. Através disso, o bot pode ser configurado para enviar relatórios coletados, relata suas condições aos servidores e recebe comandos para serem executados no sistema infectado. Tudo isso acontece através de um protocolo HTTP, onde todas as comunicações são fortemente criptografadas usando uma chave exclusiva para cada botnet.

Sua capacidade Backconnect VNC, como os desenvolvedores dizem em sua postagem, é “o recurso mais essencial para um cavalo de Troia”. Isso permite transferências de dinheiro diretamente do computador comprometido. O VNC é feito em um sistema diferente, tornando-o oculto e indetectável. Os desenvolvedores ainda afirmam que “você pode roubar dinheiro do banco enquanto a vítima está jogando com vários jogadores ou assistindo a filmes. Esqueça sobre configurar o navegador porque when carding with Sphinx você não precisa. Com o Backconnect VNC você também pode remover software antivírus/rapports do computador da vítima. Reencaminhar portas para as vítimas não é necessário devido ao uso de conexão Reversa”.

Bastante parecido com o Zeus, o Sphinx é capaz de criar páginas de phishing que podem levar os usuários a fornecer credenciais bancárias sensíveis. Webinjects, seguindo o formato do Zeus, são usados para mudar o conteúdo de um site, permitindo que um agressor roube dados de cartão de crédito e outras informações. Webfakes, por outro lado, são usados para realizar ataques de phishing sem enganar a vítima para ir a uma URL maliciosa.

Todos esses recursos mencionados despertaram o interesse dos usuários de fóruns do submundo. De fato, graças à agitação causada, o pesquisador de segurança Joseph Cox notou que o preço dobrou para $1.000 dólares.

Seguindo a onda depois da postagem inicial e a demanda das partes interessadas subsequente, o Sphinx foi sinalizado como golpe com testemunhos de usuários que fizeram uso do kit. Usuários que compraram o cavalo de Troia bancário e pagaram com moedas digitais Bitcoin e DASH estão afirmando que após as transações de pagamento terem sido feitas, nenhum arquivo foi recebido. O site Motherboard notou o comentário de um usuário dizendo, “Também paguei há uma semana e ainda não recebi nenhum arquivo, tenho provas mas espero que o Sphinx resolva isso”. Até essa postagem, nenhuma verificação em relação à situação do golpe de cavalo de Troia bancário foi fornecida. Esse artigo será atualizado assim que surgirem novas informações e mudanças sobre a história.