A empresa de segurança da informação ESET, da Eslováquia, localizou um novo tipo de trojan bancário que tem como principal alvo clientes de serviços bancários online de bancos do México, da Espanha e, principalmente, do Brasil. Os criminosos por trás do Numando agem por meio de campanhas massivas de phishing.
O Numando é descrito como um trojan bancário, ou seja, um malware do tipo cavalo de Troia, que procura coletar credenciais de clientes de serviços bancários online e de suas máquinas infectadas. Trojans assim são fornecidos por vários mecanismos e exploram uma gama de vulnerabilidades, incorporando cada vez mais funcionalidades adicionais.
Controle total
Com o Numando, os criminosos conseguem invadir diversos dispositivos e controlar remotamente a máquina do usuário, fazendo o que quiserem no local infectado. Os ataques são compostos pelo uso de janelas falsas de sobreposição, funcionalidade de backdoor e abuso de serviços como o YouTube para armazenar a configuração remota do cavalo de Troia.
Os recursos de backdoor do Numando permitem simular ações do mouse e do teclado. Além disso, eles podem reiniciar e desligar a máquina, exibir janelas de sobreposição (impedindo o usuário de tomar ações), fazer capturas de tela e eliminar processos do navegador.
As janelas falsas de sobreposição funcionam para atrair informações confidenciais das vítimas. É aqui o que chamamos de phishing (onde os criminosos fazem uso de páginas e sites falsos de entidades financeiras, como bancos).
Entre suas técnicas, o trojan bancário usa arquivos ZIP aparentemente inúteis, mas que normalmente contém um arquivo que carrega o programa Microsoft Installer. É ele que desencadeia o processo de infecção do computador.
Outra técnica usada pelos criminosos consiste em agrupar cargas úteis com imagens BMP “suspeitamente” grandes. Esses arquivos BMP são imagens válidas que podem ser abertas na maioria dos visualizadores e editores de imagens sem problemas.
A câmera do ladrão
Luli Rosenberg, hacker ético e professor da CySource, centro de referência e pesquisa em cibersegurança israelense, aponta que os golpistas por trás do cavalo de Troia podem roubar credenciais para invadir contas de bancos.
Eles também podem acessar dados sigilosos de grandes empresas, capturar arquivos pessoais para extorsão e fazer chantagens. “São muitas as possibilidades, é como se um ladrão invadisse uma casa e instalasse câmeras ocultas, grampeasse os telefones e ainda fizesse uma passagem oculta”, explica Rosenberg.
“É o único cavalo de Tróia focado em bancos da América Latina escrito na linguagem Delphi, mas com um injetor que não foi desenvolvido nessa mesma linguagem de programação. O malware ainda se aproveita de sites conhecidos como o YouTube e Pastebin (voltado para programadores) para armazenar suas configurações”, revela.
Um trojan contra o Brasil
O Numando é distribuído quase exclusivamente por phishing, mensagens em massa fingindo ser do banco ou empresas de cobrança. No caso de recebimento de anexos por e-mail, principalmente em formato ZIP, é fundamental analisar com atenção se você esperava a mensagem e se ela está no prazo previsto.
No caso de dúvidas, você deve entrar em contato diretamente com quem te enviou a mensagem, por meio de um outro canal de comunicação. Preferencialmente, por telefone, para confirmar a legitimidade do envio.
“Também é importante conscientizar o máximo de pessoas possível para frear esse tipo de ataque a partir do conhecimento de como ocorrem as invasões. Outro ponto fundamental é as plataformas utilizadas por esses hackers implementarem mecanismos de varredura ativa e proteção contra esse tipo de exploração”, lembra o professor da CySource.
Você sabe se os dados do seu negócio estão realmente protegidos? Entre em contato agora mesmo com a TND BRASIL.
Fonte: