Todos sabemos que o principal objetivo dos cibercriminosos é obter lucro, mas a forma como fazem isso varia de acordo com o objetivo, sendo as operações bancárias um dos alvos preferidos. Devido à variedade de ameaças com o intuito particular de interromper a troca de informações confidenciais para obtê-las, as soluções de segurança agrupam as diferentes variantes de código maliciosos que aparecem diariamente, classificando-as em diversas categorias.
Há alguns meses, decidimos buscar um pouco mais de informação para conhecer como tem sido a evolução de algumas famílias de códigos maliciosos que tentam colocar em risco as transações bancárias.
Antigas botnets agora roubam dados bancários
As detecções dos códigos maliciosos da família Win32/IRCBot começaram em 2003. Esse trojan com características de backdoor, que é controlado de forma remota por meio do protocolo IRC, nos primeiros anos se propagava por meio de serviços de mensagens instantâneas. Já em 2009, era possível detectar algumas famílias com características de worm que se disseminavam através de dispositivos USB, explorando vulnerabilidades.
No ano passado, foram detectadas algumas campanhas de propagação que, utilizando um arquivo do Word com macros baixavam a variante Win32/IRCBot.ASG. Este trojan se escondia dentro do sistema com o intuito de informar ao atacante tudo o que ocorria, enviando informações como usuário e senha do home banking, sempre que usuários entravam na página de alguma instituição financeira.
Espiões bancários com mais de uma década de existência
A assinatura Win32/Spy. Bancos apareceu em 2004 para detectar as ações maliciosas de uma das famílias de trojans focadas em roubar informações bancárias. Essa família coleva informações confidenciais quando o usuário navega por sites de bancos e, em seguida, tentava enviá-las a uma máquina remota. Em 2010, algumas variantes utilizavam técnicas de compressão como UPX ou MPRESS.
Outra das ameaças que tem quase 10 anos, desde que apareceram assinaturas específicas, são as da família Win32/TrojanDownloader.Banload. Ela está relacionada com uma das maiores campanhas de CPL malware e trojans bancários no Brasil detectadas nos últimos anos, e tem uma história que remonta a 2005.
Embora, em 2009, algumas variantes tenham utilizado UPX e estavam projetadas para roubar informações confidenciais, até 2013 e 2014 recebemos e analisamos uma grande quantidade de amostras de extensão CPL em nosso Laboratório de Investigação. Em percentual, 82% correspondia a alguma variante da família Win32/TrojanDownloader.Banload, cuja principal ação consiste em instalar trojans bancários nos sistemas infectados.
Variedade de tecnologias para semelhantes ameaças bancárias
Talvez uma das questões que permitem ver a grande variedade de ameaças que vão aparecendo e que demonstram como os atacantes se adaptam a novas tecnologias para alcançar efetividade no aparecimento de malware com atividades maliciosas semelhantes. Por exemplo, a família TrojanDownloader.Banload, que a princípio usava arquivos compilados para propagar-se e, em seguida, em 2008 utilizava o interprete de .NET para disseminar novas ameaças.
De forma bem parecida ocorre com outras famílias de ameaças focadas em afetar as transações bancárias, sendo Spy.Banker uma das mais representativas. Além de encontrar ameaças no .NET, tem aparecido outras variantes com comportamentos semelhantes ao que foi descrito antes, mas utilizando tecnologias como JavaScript ou Visual Basic Script, sendo esta última uma das variantes com assinatura mais recente. Isso condiz com as tendências do malware scripting que temos visto nos últimos tempos.
Por outro lado, encontramos como os atacantes começam a diversificar o tipo de plataformas. Por exemplo, no Android, encontramos famílias como Spy.Banker que monitoram as atividades nos sites bancários, o trojan Krysanec que toma o controle de aplicativos móveis de bancos, ou Jagonca, que monitora os aplicativos instaladas pelos usuários, até que coincida com o nome de um aplicativo bancário para roubar dados confidenciais.
Diversidade no tipo de malware para afetar transações bancárias
Com os exemplos anteriores é mais que evidente como as ameaças estão evoluindo, mas não são os únicos exemplos deste tipo de ameaça.
De outras famílias como Win32/Gataka foi possível encontrar evidências de como a documentação em fóruns underground, onde se podia encontrar as ameaças, foi mudando na medida em que seus desenvolvedores foram adicionando novas funcionalidades. Entre elas se encontram sua capacidade de funcionar em todas as versões do Windows (32 y 64 bit), sem a necessidade de privilégios de administrador para executar e oferecer vários plugins que facilitam o roubo de informações sensíveis por meio da injeção do código na navegação web do host infectado.
Como usuários, devemos saber que essas ameaças estão evoluindo e que os atacantes as adaptam para torná-las mais efetivas, com o intuito de afetar a uma maior quantidade de usuários.
Sabendo disso, não há desculpa para não tomar as medidas de proteção adequadas, dentro das quais não se deve esquecer de uma solução de segurança com capacidades de detecção proativa, mantendo atualizados todos os aplicativos que utilizamos, especialmente os navegadores web e seus complementos.
Autor: Camilo Gutiérrez Amaya, da ESET.
Adaptação: Francisco de Assis Camurça, da ESET.
