Cuidado com o “presente de grego”: brasileiros estão na mira dos trojans bancários | WeLiveSecurity

Cuidado com o “presente de grego”: brasileiros estão na mira dos trojans bancários

Os trojans, também conhecidos como cavalos de Troia, são programas que se assemelham a arquivos ou softwares inofensivos, mas possuem em seu conteúdo capacidades para causar danos a computadores e redes. Mundialmente, Brasil é o país mais afetado.

Os trojans, também conhecidos como cavalos de Troia, são programas que se assemelham a arquivos ou softwares inofensivos, mas possuem em seu conteúdo capacidades para causar danos a computadores e redes. Mundialmente, Brasil é o país mais afetado.

Você já usou serviços do seu banco pelo celular ou computador? Se a resposta for “sim” preste atenção a um tipo de ameaça que vem se aprimorando e já se tornou mais efetiva ao longo do tempo: os trojans bancários, também conhecidos como “cavalos de Troia”. Essa ameaça pode ser vista ao redor de todo o mundo, mas tem uma atuação muito forte no Brasil.

Analisando os nossos relatórios e métricas  de janeiro a março deste ano, através de nossas soluções de segurança, identificamos que o Banload, um tipo de trojan, vem atuando fortemente no Brasil através da disseminação de malwares bancários e diversas outras ameaças. Mundialmente, Brasil é o país mais afetado pelo Banload com 82,9% do número de infecções.

Assim como outras ameaças digitais, os trojans bancários tentam garantir algum retorno financeiro para os criminosos, mas, além disso, eles também visam se apoderar de informações bancárias de suas vítimas para realizar operações ilegais ou até mesmo o sequestro de contas.

Como as ameaças se escondem

Diversas ameaças procuram se disfarçar perante suas vítimas para que elas possam seguir as instruções ou abrir os arquivos que os criminosos desejam. Os meios mais utilizados para propagação de trojans bancários são:

#Phishing

São e-mails compostos para se parecer com um e-mail verdadeiro de alguma empresa, as vezes até do ramo bancário, e normalmente pedem que a vítima baixe algum arquivo ou acesse algum link contido na mensagem – a infecção se inicia a partir daí. Não confundir com SPAM, aquelas propagandas chatas que chegam sem parar. Os spams geralmente são produzidos pelas próprias empresas que dizem pertencer.

#Aplicativos

Não é de hoje que os aplicativos bancários ganham cada vez mais espaço entre os usuários, substituindo quase todas as operações que antes eram executadas nas agências ou apenas pela Internet. Sabendo disso, os criminosos apostam cada vez mais em aplicativos maliciosos que fingem trazer funcionalidades à vítima mas, na verdade, coletam dados bancários.

#Arquivos sazonais

“Primeiro episódio da última temporada de Game of Thrones”, “Windows 10 Sem ativação pt_BR 64bits”, cracks para programas conhecidos como o Office, entre inúmeros outros. Comumente a nomenclatura dos arquivos alegam se tratar de algo inofensivo, mas escondem os artifícios preparados pelos criminosos.

Tendo em mente as diversas formas de propagação, é interessante saber também qual a forma mais usada pelos criminosos para propagar esse cavalo de Troia tão difundido. Nossas soluções de proteção barraram diversas tentativas de propagação do Banload nos primeiros três meses deste ano. O principal meio de propagação do trojan são os arquivos executáveis, assim como você pode ver na tabela abaixo:

Meio de infecção Tentativas
Win32 67.95%
Java 20.05%
MSIL 5.03%
JS 4.12%
VBS 1.84%
HTML 1.01%

Famílias de trojan bancário que mais afetam o Brasil

Sabendo que o Banload é um meio de carregar diversos tipos de malwares, focamos nossa busca nas principais famílias de trojans bancários presentes no Brasil. Como existem diversas famílias diferentes, descreveremos o funcionamento da ameaça mais detectada dentre as principais, os malwares da família ClientMaximus. Como mostramos, os malwares desta família detêm sozinhos mais de 40% das atividades detectadas entre janeiro e março deste ano.

Como o ClientMaximus atua

Apesar de falarmos aqui desta família de trojans bancários em específico, o funcionamento deste tipo de ameaça costuma ser razoavelmente semelhante, alguns tem certas funcionalidades a mais ou a menos, procuram se camuflar de formas diferentes, mas seu funcionamento no momento da extração de informações das vítimas costuma ser bem parecido. Confira o funcionamento da ameaça em três passos:

  1. Ao infectar a vítima o malware normalmente se esconde, nesse caso se camufla como uma DLL usada por outros programas legítimos. Este tipo de ataque é chamado de sequestro de DLL, ou DLL hijack (em inglês).
  2. Depois da infecção, assim que a vítima acessa sites de uma das instituições bancárias que o malware está monitorando, o atacante pode tomar ações no host da vítima. Quando o acesso legítimo é feito ao banco, o criminoso passa a ter acesso as funções bancárias da vítima e pode manipulá-las como bem entender.
  3. Mesmo que o criminoso não tenha armazenado dados de sessão ou de login, ele ainda pode manter uma sessão com o banco através da vítima, ou pode aguardar até que a vítima faça outra transação em um dos sites monitorados para se apossar de mais recursos financeiros.

Estes três passos também permitem que o criminoso possa configurar um meio de acesso permanente ao computador de sua vítima, fazendo com que as interações do usuário com o banco não sejam mais necessárias para que o controle ocorra.

Como se proteger

É necessário se manter em constante alerta para que os criminosos nunca tenham sucesso em suas tentativas de obter lucro ilícito. Para aumentar a chance de êxito nessa tarefa, que é sempre bastante árdua, trazemos sete dicas de segurança que auxiliarão a impedir que os ataques sejam bem-sucedidos. Lembrando que essas dicas são úteis para auxiliar na proteção contra diversos tipos de ameaças, e não apenas contra o ClientMaximus.

  • Não utilize software pirata nem faça uso de programas que realizam ativação clandestina, também conhecidos como cracks.
  • Sempre assista filmes e séries por meios oficiais.
  • Fique atento a todos os e-mails e observe se o remetente e os links presentes na mensagem pertencem realmente à empresa que eles dizem pertencer.
  • Navegue por sites confiáveis ou tenha softwares capazes de filtrar a navegação para endereços suspeitos.
  • Mantenha todos os softwares do computador ou smartphone em sua última versão disponibilizada pelo fabricante e com todas as atualizações de segurança instaladas.
  • Tenha cautela ao acessar links disponibilizados em aplicativos de troca de mensagens, como o WhatsApp – há uma grande quantidade de ameaças que se propagam dessa forma.
  • Mantenha os softwares de proteção sempre ativos e configurados para bloquear ameaças.

Discussão