O trojan “Metamorfo”, que em Abril deste ano buscava clientes do banco Itaú, retornou revigorado no final de Outubro com scripts para pegar clientes de 14 bancos: Santander, Itaú, Banco do Brasil, Caixa Econômica Federal, Sicredi, Bradesco, Safra, Sicoob, Banco da Amazônia, Banco do Nordeste, Banestes, Banrisul, Banco de Brasília e Citi. A descoberta foi feita pelos pesquisadores Edmund Brumaghin, Warren Mercer, Paul Rascagneres, e Vitor Ventura, da Talos Intelligence, a empresa de segurança que defende os clientes da Cisco. Na mesma pesquisa, foi descoberta uma botnet que está criando endereços de e-Mail no BOL. Até agora já foram criados 4 mil endereços diz o relatório.
Nesse documento, que publicaram no site da empresa, os pesquisadores explicaram que há duas campanhas de trojans em andamento, visando os clientes brasileiros dos 14 bancos listados acima. Nos dois casos, o primeiro objetivo é fazer a vítima “engolir” um dos dois Trojans bancários. Os payloads finais vêm equipados com keylogger e exfiltram dados para um servidor de comando e controle (C&C). Um dos trojans tenta roubar os códigos de segurança do cartão de pagamento dos clientes, e o outro rouba os códigos de autenticação de dois fatores (2FA) dos tokens.
As duas campanhas são feitas por meio de spam e phishing: vasta distribuição de e-Mails contendo os anexos ou links contaminados. Os links se caracterizam por utilizar URLs encurtadas que levam ao download e arquivos contaminados. O corpo da mensagem sempre traz como isca uma imagem contendo o título “fatura vencida” ou semelhante, e o link para que a vítima faça download e instale o malware no dispositivo. Existem arquivos com as extensões ZIP, LNK e também JPG, todos contendo payloads para a contaminação.
