Pesquisadores da divisão X-Force da IBM descobriram no mês passado, Agosto de 2018, um malware bancário que consegue driblar a biometria: é o CamuBot, que está atacando principalmente clientes pessoa-jurídica de bancos brasileiros. O ataque inclui ações de engenharia social e tem como alvo contas de pessoa jurídica tanto de empresas quanto de governos segundo a IBM. E no caso de haver biometria, o malware baixa e instala um driver do fabricante do dispositivo para resolver o problema.
O CamuBot é bem visível, usando logotipos do banco e imagens da marca, parecendo um aplicativo de segurança, podendo enganar as vítimas e levá-las a fazer sua instalação. As táticas dele se assemelham às usadas por malwares desenvolvidos no Leste Europeu como TrickBot, Dridex e QakBot, todos com foco em contas de pessoa-jurídica, combinando engenharia social com malware para controle da conta e do dispositivo.
O ataque com o uso do CamuBot começa com uma fase de reconhecimento, na qual os cibercriminosos buscam empresas que usem determinada instituição financeira. O passo seguinte é uma ligação para a pessoa que provavelmente tem as credenciais da conta bancária. Eles geralmente se identificam como funcionários do banco e instruem a vítima a procurar uma determinada URL para verificar se o módulo de segurança está atualizado. Se a pessoa fizer isso o ataque começou bem: a URL é falsa e a verificação de validade será “negativa”, para que a vítima para “atualize” seu “módulo de segurança”. A vítima é aconselhada a fechar todos os programas em execução e fazer a instalação com um perfil de administrador do Windows.
Em background, o CamuBot é baixado e executado no dispositivo da vítima. A cada ataque são modificados o nome do arquivo e a URL da qual ele é baixado. Como parte da rotina de infecção, o CamuBot grava dois arquivos na pasta “% ProgramData%” para criar um proxy no dispositivo. Em seguida, ele se autoadiciona às regras do firewall e faz o mesmo com o antivírus. Para se comunicar com o dispositivo infectado, o CamuBot estabelece um proxy de SOCKS baseado em SSH. Com o módulo proxy carregado, é feito um forwarding de porta. Esse recurso geralmente é usado em um túnel bidirecional de portas de aplicativos do dispositivo, do cliente para o servidor. No caso do CamuBot, o túnel permite que os invasores direcionem seu próprio tráfego através da máquina infectada e usem o endereço IP da vítima ao acessar a conta bancária com a máquina comprometida.
Após a instalação, uma tela pop-up redireciona a vítima para um site de phishing igual ao portal do banco, onde a vítima é solicitada a fazer login em sua conta e, portanto, enviar as credenciais para o invasor. Se essas credenciais forem suficientes para uma invasão de conta, o cibercriminoso desconecta. Quando há um dispositivo de autenticação forte conectado ao endpoint, o malware pode buscar e instalar um driver para ele. Nesse caso, o operador entra novamente em ação, convidando a vítima a ativar o compartilhamento do dispositivo. Desse modo, pode capturar senhas tipo OTP (one-time passwords) para acesso à conta.
Com esse dado, os criminosos podem tentar fazer uma transação fraudulenta. De acordo com os pesquisadores da X-Force, uma possibilidade mais preocupante é que o driver de dispositivo implantado pelo CamuBot seja semelhante ao de outros dispositivos do mesmo fornecedor, alguns dos quais utilizados para autenticação biométrica. Se o compartilhamento desse dispositivo for autorizado pela vítima, ela estará comprometendo todo o processo de autenticação biométrica.
