Pesquisadores de segurança da IBM alertaram nesta semana para o novo trojan MnuBot, que está infectando PCs de usuários no Brasil.
Trojan MnuBot
De acordo com os pesquisadores, o trojan escrito em Delphi também utiliza técnicas que visam dificultar sua detecção por soluções de segurança.
Este trojan bancário é controlado pelos criminosos através de um banco de dados MSSQL remoto, o que é um pouco incomum já que a maioria dos malwares opera entrando em contato com servidores ou aplicações web dos criminosos. Raramente eles operam se conectando diretamente a um banco de dados.
Em seu relatório publicado hoje, o pesquisador de segurança Jonathan Lusky da IBM diz que o código-fonte do trojan MnuBot contém credenciais criptografadas que são usadas para conexão ao banco de dados dos criminosos.
Depois de instalado no computador da vítima, o malware descriptografa estes valores de forma dinâmica momentos antes de iniciar a conexão.
Toda comunicação entre o malware e o servidor de comando e controle ocorre como tráfego do SQL. Isto inclui consultas por novos comandos e os comandos propriamente ditos e dificulta sua detecção por softwares antivírus.
O design do trojan MnuBot também oferece outras vantagens para os criminosos. Por exemplo, como o malware recebe seu arquivo de configuração em intervalos regulares a partir de um banco de dados SQL os criminosos podem disponibilizar atualizações mais rapidamente.
O trojan MnuBot possui dois componentes principais. O primeiro é o que infecta os computadores das vítimas e uma de suas funções é verificar a presença do arquivo Desk.txt na pasta Roaming localizado em AppData.
A presença deste arquivo indica que o computador já foi infectado.
E ele não estiver presente, este primeiro componente do trojan cria o arquivo e abre um ambiente na área de trabalho onde operará de forma oculta. Dados sobre este ambiente são armazenados no arquivo Desk.txt.
O segundo componente é responsável pela conexão ao banco de dados SQL dos criminosos. Depois de receber as instruções, ele pode executar tarefas como:
– Recuperar a versão mais recente do seu arquivo de configuração.
– Executar comandos do sistema operacional armazenados no arquivo.
– Capturar tudo que é digitado pelo usuário, incluído informações de login em sites de internet banking.
– Simular cliques do usuário.
– Simular digitação do usuário.
– Capturar imagens do navegador e da área de trabalho.
– Reinicializar o computador.
– Criar páginas falsas por cima de páginas reais de bancos*.
*A lista de bancos suportados é armazenada no arquivo de configuração do trojan.
O post Novo trojan MnuBot tem brasileiros como alvo apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br