Malware bancário visa pessoa jurídica e pode driblar biometria

Paulo Brito
10/09/2018
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest
Tela de instalação do CamuBot
Tela de instalação do CamuBot, camuflado como módulo de segurança

Pesquisadores da divisão X-Force da IBM descobriram no mês passado, Agosto de 2018, um malware bancário que consegue driblar a biometria: é o CamuBot, que está atacando principalmente clientes pessoa-jurídica de bancos brasileiros. O ataque inclui ações de engenharia social e tem como alvo contas de pessoa jurídica tanto de empresas quanto de governos segundo a IBM. E no caso de haver biometria, o malware baixa e instala um driver do fabricante do dispositivo para resolver o problema.

O CamuBot é bem visível, usando logotipos do banco e imagens da marca, parecendo um aplicativo de segurança, podendo enganar as vítimas e levá-las a fazer sua instalação. As táticas dele se assemelham às usadas por malwares desenvolvidos no Leste Europeu como TrickBot, Dridex e QakBot, todos com foco em contas de pessoa-jurídica, combinando engenharia social com malware para controle da conta e do dispositivo.

O ataque com o uso do CamuBot começa com uma fase de reconhecimento, na qual os cibercriminosos buscam empresas que usem determinada instituição financeira. O passo seguinte é uma ligação para a pessoa que provavelmente tem as credenciais da conta bancária. Eles geralmente se identificam como funcionários do banco e instruem a vítima a procurar uma determinada URL para verificar se o módulo de segurança está atualizado. Se a pessoa fizer isso o ataque começou bem: a URL é falsa e a verificação de validade será “negativa”, para que a vítima para “atualize” seu “módulo de segurança”. A vítima é aconselhada a fechar todos os programas em execução e fazer a instalação com um perfil de administrador do Windows.

Em background, o CamuBot é baixado e executado no dispositivo da vítima. A cada ataque são modificados o nome do arquivo e a URL da qual ele é baixado. Como parte da rotina de infecção, o CamuBot grava dois arquivos na pasta “% ProgramData%” para criar um proxy no dispositivo. Em seguida, ele se autoadiciona às regras do firewall e faz o mesmo com o antivírus. Para se comunicar com o dispositivo infectado, o CamuBot estabelece um proxy de SOCKS baseado em SSH. Com o módulo proxy carregado, é feito um forwarding de porta. Esse recurso geralmente é usado em um túnel bidirecional de portas de aplicativos do dispositivo, do cliente para o servidor. No caso do CamuBot, o túnel permite que os invasores direcionem seu próprio tráfego através da máquina infectada e usem o endereço IP da vítima ao acessar a conta bancária com a máquina comprometida.

Após a instalação, uma tela pop-up redireciona a vítima para um site de phishing igual ao portal do banco, onde a vítima é solicitada a fazer login em sua conta e, portanto, enviar as credenciais para o invasor. Se essas credenciais forem suficientes para uma invasão de conta, o cibercriminoso desconecta. Quando há um dispositivo de autenticação forte conectado ao endpoint, o malware pode buscar e instalar um driver para ele. Nesse caso, o operador entra novamente em ação, convidando a vítima a ativar o compartilhamento do dispositivo. Desse modo, pode capturar senhas tipo OTP (one-time passwords) para acesso à conta.

O CamuBot baixa e instala um driver para um dispositivo de autenticação

Com esse dado, os criminosos podem tentar fazer uma transação fraudulenta. De acordo com os pesquisadores da X-Force, uma possibilidade mais preocupante é que o driver de dispositivo implantado pelo CamuBot seja semelhante ao de outros dispositivos do mesmo fornecedor, alguns dos quais utilizados para autenticação biométrica. Se o compartilhamento desse dispositivo for autorizado pela vítima, ela estará comprometendo todo o processo de autenticação biométrica.

 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest