Clientes do Bradesco, do Banco do Brasil e da cooperativa de crédito Sicredi estão na mira de uma nova campanha de hackers: eles buscam instalar nos dispositivos das vítimas uma ferramenta chamada RADMIN para controlá-los, utilizando para isso malwares ‘fileless’ (leia o quadro), ou seja, que residem apenas na memória RAM. A campanha foi descoberta por especialistas da TrendMicro, e o objetivo é roubar credenciais bancárias.
O malware, destinado também a bancos de Taiwan, usa vários anexos “.BAT” para abrir um endereço IP. Em seguida, faz o download de um PowerShell contendo o trojan bancário e instala ferramentas para extrair os dados dos usuários. Juntamente com o RADMIN, para controle do dispositivo, as ferramentas incluem uma para roubo de informações. Ela é capaz de verificar strings relacionadas aos bancos na mira dos bandidos e outras conexões associadas, para determinar se deve ou não direcionar o usuário para uma página falsa na web. A TrendMicro não encontrou dados roubados durante sua análise. No entanto, esses dados após roubados tendem a ser usados para atividades fraudulentas, incluindo sua revenda na Dark Web para que hackers realizem novos crimes.
[box type=”info” style=”rounded” border=”full”]Um ataque de malware sem arquivo pode começar por uma ação iniciada pelo usuário, como clicar em um anúncio de banner que abre um redirecionamento para acessar o Flash, que então utiliza outros aplicativos no dispositivo. Os ataques de malware sem arquivo existem na RAM de um dispositivo e geralmente acessam e injetam código mal-intencionado em ferramentas padrão do Windows, como o PowerShell e o Windows Management Instrumentation (WMI). Esses aplicativos confiáveis podem executar tarefas do sistema para vários pontos de extremidade, o que os torna alvos ideais para ataques de malware sem arquivo. Por exemplo, a violação Equifax foi executada com um ataque de malware sem arquivo usando o aplicativo Apache Struts.[/box]
Assim que se instala num dispositivo, o malware baixa os códigos do PowerShell, executa e se conecta a outras URLs, extrai e renomeia arquivos. Os arquivos renomeados ainda aparecem como genuínos, marcados como executáveis e como arquivos de imagem. O sistema, em seguida, reinicia algumas vezes, quando arquivos .LNK caem na pasta de inicialização. Ao criar uma tela de bloqueio, o usuário é levado a digitar seu nome de usuário e senha e, a partir daí, o roubo de credenciais é iniciado. O malware envia as credenciais para o servidor de comando e controle e exclui todos os arquivos inseridos e criados, removendo assim todas as pistas e provas.
Em seguida, ele executa outro trojan, identificado como TrojanSpy.Win32.BANRAP.AS, que abre o Outlook e extrai os dados para enviar ao servidor. Nesse ponto, o RADMIN cria uma uma pasta (deixando um arquivo chamado RDP Wrapper na área de trabalho), permitindo que o hacker tenha acesso total ao sistema, ganhe direitos de administrador e acompanhe as atividades do usuário sem ser notado. Após a reinicialização, ele exclui os arquivos recém-instalados para novamente remover suas pistas e os substitui por arquivos .LNK contaminados. A seguir carrega o trojan para aplicativos da Web. É com isso que ele captura credenciais quando os usuários fazem login no seu banco.
