Home  >  Segurança

Nova variante de malware rouba dados bancários na América do Sul

Varonis identifica ameaça que atingiu milhares de vítimas em todo mundo sob controle ativo

Da Redação

28/02/2019 às 19h05

hacker
Foto: Shutterstock

Nova campanha global de ataques cibernéticos está espalhando uma nova variante do malware bancário Qbot, cujo principal objetivo é roubar informações financeiras, incluindo credenciais bancárias. A descoberta é da equipe de especialistas do Varonis Security Research, time de pesquisas em segurança da informação da Varonis, que aponta que milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo de invasores.

Segundo a empresa, os ataques estão, atualmente, mirando empresas nos EUA, mas à medida em que chegam às redes mundiais de computadores, estão se espalhando rapidamente, com vítimas na Europa, na Ásia e na América do Sul.

O Qbot é um tipo já conhecido de malware sofisticado usado para roubar credenciais bancárias. A ameaça emprega técnicas de anti-análise, frequentemente desviando dos mecanismos de detecção e usando novos vetores de infecção para ficar à frente das soluções de segurança.

Como funciona o ataque

A variante, segundo a Varonis, mantém as características originais dos primeiros Qbots descobertos em 2009. Uma vez dentro da rede, começa a executar ataques de força bruta contra as contas dos usuários na rede, partindo do grupo de usuários do domínio do Active Directory. A ameaça então começa a rodar keyloggers, aplicativos que registram tudo que é digitado, aplicações que escaneiam e extraem processos do sistema em busca de sequências relacionadas a dados bancários e softwares para roubar credenciais.

Após a identificação, o time de especialistas da Varonis começou a analisar o ataque, revertendo a cepa do Qbot, que permitiu a identificação do servidor ativo de comando e controle usado pelo invasor, bem como a definição da escala do ataque. Com base na observação direta do servidor, a Varonis identificou que milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo dos invasores.

cyber_security

Ao analisar a nova variante, os pesquisadores descobriram que o malware chega por meio de um arquivo .zip contendo um arquivo com a extensão “.doc.vbs”. Segundo os especialistas, isso indica que a primeira infecção provavelmente ocorreu por meio de um e-mail de phishing, que levou a vítima a clicar em um arquivo VBS (Visual Basic Script) malicioso.

Uma vez ativado, o Qbot busca programas de antivírus instalados no sistema e usa uma ferramenta para fazer o download do malware em si, fazendo as alterações necessárias para se diferenciar de Qbots anteriores para que não possam ser identificados pelos antivírus.

Caso não haja conexão com internet, o malware vai copiar a si mesmo em diferentes locais no sistema infectado e, se não puder enviar informações, vai armazená-las e criptografá-las dentro do próprio dispositivo.

Empresas precisam estar atentas

Ao analisar um dos servidores de comando e controle, o time da Varonis identificou 40 mil máquinas Windows conectadas, além de encontrar também arquivos de log contendo os IPs das vítimas, detalhes de sistemas em operação e nomes de produtos de antivírus. O servidor revelou também atividades passadas e versões adicionais de malwares. Quase todas as máquinas infectadas estavam rodando o Windows Defender, com base nos resultados do script VP que foram enviados de volta ao servidor.

Carlos Rodrigues, vice-presidente da Varonis para a América Latina, alerta que, mesmo que os ataques tenham origem externa, a maneira como o novo Qbot infecta os usuários merece atenção, especialmente quando falamos da importância do comportamento do usuário.

“Ataques desse tipo reforçam a importância de estar atento ao comportamento do usuário. Enganar um usuário para que ele clique em links suspeitos e roubar suas credenciais é algo relativamente fácil. Logo, as empresas não podem depender apenas da confiança de que seus colaboradores são capazes distinguir o que é seguro. Especialmente no caso das ameaças mais sofisticadas, mesmo um usuário com alto nível de conhecimento pode ser iludido em um momento de distração”, disse Rodrigues.