S21sec descobre novo malware bancário

Segundo a S21sec, esta campanha está a ser dirigida sobretudo a clientes de entidades espanholas, no entanto, e com base em padrões de evolução verificados em ataques de malware semelhantes, a utilização deste tipo de malware poderá acabar por afetar outras empresas em todo o mundo. Estes ataques têm sido realizados utilizando como principal via de distribuição o envio de um email acompanhado de um anexo com a extensão “.pdf.exe” comprimido num documento denominado “factura-xxxx.pdf.zip”.

Uma das características deste tipo de malware prende-se com a utilização da tecnologia DGA (Domain Generation Algorithm), que, conforme refere a S21sec, consiste em gerar periodicamente uma grande quantidade de domínios aleatórios para dificultar o encerramento da botnet. Graças ao DGA, o botmaster é capaz de prever os domínios que se tentam conectar, permitindo antecipar-se e registar por si mesmo um deles e assim ativar a comunicação com a máquina infetada e com o servidor.

A empresa confirmou que este malware parece afetar entidades financeiras muito à semelhança do que acontece com outras botnets de famílias de malware específicas, como a Tinba, Kins, Pykbot e a Xswkit.  Isto significa que todas elas poderão estar a ser geridas pela mesma rede criminosa, a utilizar os mesmos processos de disseminação e a recorrer ao ATS.

A S21sec explicou que, a partir do momento em que o processo de infeção estiver concluído, é efetuada uma injeção de código HTML em tempo real para enganar o utilizador infetado com engenharia social: o cliente recebe um pedido supostamente do seu banco para efetuar a devolução de um valor que foi depositado na sua conta por engano. Sem que seja modificada a página web da entidade bancária, aparece na realidade ao cliente um saldo superior ao que era suposto, levando-o a realizar de livre vontade uma transferência fraudulenta para uma outra conta bancária através do sistema ATS.