RicardoOrlandini.net - Informa e faz pensar - Notícias - Malware Zumanek rouba credenciais bancárias e mira o Brasil

Últimas notícias

Notícias

RSS
22.01.2018 | Internet

Malware Zumanek rouba credenciais bancárias e mira o Brasil

Malware Zumanek rouba credenciais bancárias e mira o Brasil

Ameaça age como trojan de acesso remoto (RAT) e se vale de engenharia social para convencer vítimas a executar primeiro estágio de infecção; malware analisa a língua do sistema para confirmar ser “pt-br” e baixa o payload final; no último estágio, cibercriminoso pode controlar dispositivo infectado e obter screenshots da tela

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

Há aproximadamente três meses a ESET detectou o Zumanek, uma nova família de malwares bancários, que ataca quase que exclusivamente o Brasil. Seu nível de detecção ainda não o coloca no top 10 de spywares/bankers mais detectados no país, mas o vírus traz indícios dos planos futuros do cibercrime brasileiro, focado em bancos e criptomoedas.

A empresa analisou uma amostra dessa família de malwares (versão 3.0) com o objetivo de entender seu funcionamento e verificar as precauções tomadas por seus desenvolvedores para evitar a detecção.

Atuação do malware bancário

Para chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a pessoa a baixar e executar o primeiro estágio de infecção.

Nesse primeiro estágio, o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final (parte do vírus que executa a ação nociva) e, por fim, executá-lo na máquina comprometida.

Um dos motivos que explicam as detecções serem (quase que) exclusivamente no Brasil, está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se entrada corresponder a ‘pt-br’.

Outra verificação do malware é com relação à proteção da máquina. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes antivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado. Caso não haja antivírus, o malware prossegue com o download do payload final e sua execução na máquina da vítima.

Ao final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é verificado se os arquivos foram baixados e modificados corretamente.

Se a verificação for positiva, o payload final é executado. Caso contrário, os arquivos são escondidos (FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.

Na sequência, chega-se ao segundo estágio, que tem como finalidade prover ao atacante o controle remoto à máquina da vítima, para o roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda.

A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa (biblioteca dinâmica de dados para execução de tarefas) que é carregada pelo executável, executando, na sequência, o arquivo legítimo.

Após a execução dos arquivos, o Zumanek pode enviar diversos comandos à máquina da vítima. Além disso, o operador pode também visualizar a tela do usuário a partir dos dados enviados, realizando os seguintes comandos:

PRIMEIRAFOTO – Tira screenshot da máquina da vítima e envia o tamanho da screenshot comprimida (zlib)

SEGUNDAFOTO – Cria diff da screenshot atual com a anterior e envia tamanho do diff

MANDASTREAM – Envia screenshot comprimida e diff

Isso significa que os dados bancários da vítima se tornam completamente expostos e, consequentemente, vulneráveis.

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

“Como vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento, principalmente quando utilizamos as facilidades trazidas pelas plataformas bancárias online e, agora, pelas criptomoedas”, finaliza Camillo Di Jorge, Country Manager da ESET no Brasil.

Fonte: Security Report


Tags: Malware Zumanek, Malware, malware, vírus, segurança, cibercrime, internet





Opinião do internauta

Deixe sua opinião

Datas anteriores:

notícias Relacionadas

Comemoramos hoje - 19.07

  • Dia da Caridade
  • Dia de São ímaco (Papa)
  • Dia de São Símaco
  • Dia do Anjo Vehuel
  • Dia Nacional do Futebol