Pesquisadores do IBM X-Force analisaram um novo malware que visa os principais bancos brasileiros, por meio de seus clientes corporativos. O trojan CamuBot recebeu este nome por que ele se camufla como um módulo de segurança exigido pelos bancos.
Novo trojan CamuBot visa clientes corporativos de bancos brasileiros
O CamuBot surgiu no Brasil em agosto de 2018, no que pareciam ser ataques direcionados a usuários de bancos comerciais. De acordo com as pesquisas do X-Force, os autores deste malware estão visando empresas e organizações do setor público, usando uma combinação de engenharia social e táticas de malware para driblar a autenticação e os controles de segurança.
Ao contrário de outros malwares operados no Brasil, o trojan CamuBot foi definido como um novo código. Muito diferente dos típicos trojans, o CamuBot não se esconde; pelo contrário, é muito visível, usando logotipos dos bancos e a mesma aparência de um internet banking, por exemplo, para se passar por um aplicativo de segurança. Assim, ganha a confiança da vítima e leva-a a instalá-la sem perceber que está executando um assistente de instalação para um cavalo de Tróia.
O CamuBot é mais sofisticado do que os típicos malwares de ataque remoto e táticas de fraude usados no Brasil. Em vez de simples telas falsas e uma ferramenta de acesso remoto, as táticas do CamuBot se assemelham àquelas usadas por malwares fabricados na Europa Oriental, como TrickBot, Dridex ou QakBot, todos focados em bancos comerciais e combinando engenharia social com controle de conta / dispositivo auxiliado por malware.
Um Telefonema seguido do Phishing
O método de fraude do trojan CamuBot é uma mistura de elementos projetados para atrair uma vítima para instalar o malware em seu dispositivo e, em seguida, guiá-la inconscientemente, autorizando uma transação fraudulenta.
Para efetivar os ataques, os operadores do CamuBot começam com uma pesquisa básica de empresas que façam negócios com uma determinada instituição financeira. Em seguida, ligam para a pessoa que provavelmente teria as credenciais da conta bancária da empresa.
Os invasores se identificam como funcionários do banco e instruem a vítima a entrar em um site com o objetivo de verificar se o módulo de segurança está atualizado. Obviamente, a verificação de validade aparece negativa, então os invasores usam este pretexto para que a vítima instale um “novo” módulo de segurança para continuar usando o internet banking. Os usuários que baixam o módulo são aconselhados a fechar todos os programas em execução e a executar a instalação com um perfil de administrador do Windows.
Neste ponto, um aplicativo falso com os logotipos do banco começa a ser baixado. Por trás da interface, o CamuBot é executado no dispositivo da vítima. O nome do arquivo e a URL a partir da qual é feito o download muda a cada novo ataque.
Como parte destas simples etapas da instalação, o trojan CamuBot:
– Grava dois arquivos na pasta %ProgramData% Windows para estabelecer um módulo proxy no dispositivo. O nome do executável não é estático e muda a cada ataque.
– Adiciona-se às regras do Firewall para parecer confiável. E faz o mesmo com o antivírus:
C:WindowsSystem32netsh.exe" firewall add allowedprogram "" Anti-Virus ENABLE
Para comunicar-se através da máquina infectada , o CamuBot estabelece um proxy SOCKS baseado em SSH. De acordo com a análise da X-Force, a DLL do módulo SSH é uma ferramenta gratuita que foi obtida através do GitHub. A DLL é nomeada: “%TEMP%Renci.SshNet.dll“.
O módulo proxy é então carregado e estabelece o encaminhamento de porta. Esse recurso geralmente é usado em um túnel bidirecional de portas de aplicativos do dispositivo do cliente para o servidor. No caso do CamuBot, o túnel permite que os invasores direcionem seu próprio tráfego através da máquina infectada e usem o endereço IP da vítima ao acessar a conta bancária comprometida.
Uma vez que a instalação é concluída, uma tela pop-up redireciona a vítima para um site de phishing que simula o portal de internet banking. Eles são solicitados a fazer login em sua conta e, assim, inadvertidamente, enviar suas credenciais para o invasor.
Nesse momento, se as credenciais forem suficientes para uma invasão de conta, o invasor se desconecta.
O trojan Camubot consegue driblar a autenticação biométrica?
Nos casos em que os operadores do CamuBot invadem um dispositivo de autenticação forte conectado a máquina infectada, o malware pode buscar e instalar um driver para esse dispositivo. A vítima é então solicitada a ativar o compartilhamento remoto. Acreditando que estão falando com um representante do banco, a vítima pode autorizar o acesso, sem saber que, ao compartilhar o acesso ao dispositivo conectado, ele permitirá que o invasor intercepte senhas de uso único geradas para fins de autenticação.
Com a senha do usuário em mãos , o criminoso pode tentar uma transação fraudulenta, abrindo caminho através de seu endereço IP, para fazer a sessão parecer legítima pelo lado do banco.
Os pesquisadores do X-Force reforçam que uma possibilidade preocupante foi de que o driver de dispositivo implantado pelo CamuBot fosse similar a outros dispositivos fornecidos pelo mesmo fornecedor, alguns dos quais são usados para autenticação biométrica. Se o mesmo compartilhamento remoto for autorizado por um usuário, eles podem, sem saber, comprometer sua autenticação biométrica.
Distribuição
A distribuição do trojan CamuBot é personalizada. Como os operadores de malware têm como alvo empresas no Brasil, é possível que eles coletem informações a partir de listas de telefones locais, mecanismos de pesquisa, ou redes sociais. Todo isso para chegar a pessoas que possuem uma empresa, ou que tenham as credenciais da conta bancária da empresa.
Alvos
Atualmente, o CamuBot tem como alvo os correntistas de empresas no Brasil. Os pesquisadores do X-Force não visualizaram o malware sendo usado em outros países, porém isso pode mudar com o tempo.
Fonte: IBM X-Force
O post Novo trojan CamuBot visa clientes corporativos de bancos brasileiros apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br