Home  >  Segurança

Onze Cavalos de Troia históricos que ainda assombram usuários de PC

Alguns desses vírus datam de 2006, mas não se engane: eles continuam ativos e, se tiverem uma chance, vão invadir seu computador

Da Redação

09/09/2015 às 9h00

cavalo_de_troia.jpg
Foto:

Os famosos Cavalos de Troia, vírus que se disfarçam de mensagens regulares para invadir o computador de usuários mais incautos e roubar dados, continuam ativos e cada vez mais perigosos. Segundo a Trend Micro, uma das áreas preferidas pelos criminosos para atacar usando o malware são as operações bancárias online, pela abrangência e popularidade.

A empresa de segurança fez um levantamento dos Cavalos de Troia mais famosos e avisa: mesmo aqueles datados de 2006 continuam ativos, alguns com variações mais avançadas, e merecem toda a atenção. Confira abaixo a lista.

ZBOT (também conhecido como Zeus) - 2006

Reconhecido como o mais famoso cavalo de Troia, o Zeus é um toolkit que permite que um cibercriminoso crie malware disfarçados. O Zbot é usado para roubo de dados ou informações de contas. Monitora hábitos de navegação do usuário usando títulos da janela do navegador ou URLs da barra de endereços como acionadores de seus ataques.

As variantes inserem um código JavaScript em páginas de sites bancários legítimos e coletam informações através de HTTP POST para URLs remotas. Em 2011, um código fonte de Zbot foi vazado em um site de compartilhamento de arquivos e rapidamente se espalhou em fóruns do submundo.

GOZI - 2007

O cavalo de Troia Gozi é um spyware que monitora o tráfego de dados no computador. Com suas funções de captura de tela e keylogging pode obter credenciais de login armazenadas em navegadores e aplicações de email. O Gozy usa um componente rootkit para ocultar os processos, arquivos e informações de registro relacionados.

CARBERP - 2009

O CARBERP registra as teclas digitadas pelo usuário, parodia sites e deliberadamente deixa uma cópia de si mesmo em locais que não exigem privilégios de administrador. Ele é caracterizado como um malware dependente de um plug-in pois depende de módulos baixados/incorporados para completar suas rotinas.

Recentemente retornou com versões aprimoradas dispendiosas e variantes para aplicativos móveis disponíveis no mundo real. Baixa novos plug-ins para complementar suas rotinas de roubo de informações que ajudam um possível agressor a acessar remotamente um sistema infectado usado para monitorar sistemas de banco por Internet.

SPYEYE - 2009

SPYEYE é famoso por roubar informações do usuário relacionadas a sites financeiros e bancários. Suas variantes podem ser baixadas sem o conhecimento dos usuários ao visitarem sites maliciosos, podendo também chegar através de spam.

O vírus tem recursos de rootkit que permite que ele esconda os processos e arquivos dos usuários. Em 2011, um cibercriminoso na Rússia usou o SPYEYE para roubar mais de US$3,2 milhões de dólares de várias organizações nos Estados Unidos.

SHYLOCK - 2010

SHYLOCK é um spyware que tenta substituir os números de contato de determinados bancos por números que são controlados pelos agressores – levando os usuários infectados a divulgar informações bancárias e pessoais aos agressores. Os usuários podem ficar infectados visitando sites maliciosos. Em 2014, a Agência Nacional do Crime anunciou a derrubada dos servidores comando-e-controle (C&C) do SHYLOCK.

CITADEL - 2010

O toolkit do CITADEL permite que os agressores personalizem o cavalo de Troia segundo suas necessidades e infraestrutura de C&C. Em 2013, o CITADEL voltou, visando usuários do Japão e também serviços de email, como Gmail, Yahoo!, Japan mail e Hotmail.

TINBA - 2011

Os usuários são infectados através do exploit kit Blackhole, usando webinjects, ele rouba informações de logins de sites. O TINBA também foi vinculado a outras atividades, como money mules, sites pornográficos, hospedagem obscura na web e outros malware ladrões de informações.

KINS - 2013

O KINS baixa um arquivo de configuração que tem uma lista de bancos visados, sites de drop zone e arquivos webinject. Rouba informações bancárias online, tais como credenciais do usuário injetando um código específico no navegador dos usuários quando acessam determinadas URLs em tempo real. O KINS então mostra popups que parecem legítimos, solicitando credenciais bancárias e outras informações, como números de seguro social.

VAWTRAK - 2013

VAWTRAK chegou como um arquivo ZIP anexo em golpes de engenharia social, especialmente emails de spam disfarçados como notificações de entrega de encomendas. Ele rouba informações armazenadas em clientes FTP, inclusive credenciais de login. Em 2015 ocorreram ataques a instituições financeiras e bancárias nos Estados Unidos e Canadá.

EMOTET - 2014

O malware chega como um anexo em mensagens de grayware ou como um arquivo baixado sem saber pelos usuários, quando visitam sites maliciosos. Uma vez no sistema, o malware baixa arquivos de componentes, inclusive um arquivo de configuração que contém informações de outros bancos visados. Em 2014, a atividade do EMOTET cessou mas reapareceu rapidamente em janeiro de 2015.

DYRE - 2015

O DYRE chamou a atenção do setor de segurança devido a sua capacidade de evitar o SSL, uma medida de segurança para sites bancários. Depois que o malware é instalado no sistema, ele pode monitorar e fazer capturas de tela das atividades do navegador, realizar ataques “man-in-the-middle” através de injeções no navegador, roubar certificados de segurança pessoais, roubar credenciais bancárias online e rastrear a localização da vítima através de STUN (Session Traversal Utilities for NAT).

Dicas para se proteger

Algumas medidas simples ajudam a evitar dores de cabeça:

1. Conheça a política de seu banco. Se receber uma notificação de banco online suspeita, verifique com seu banco antes de responder a qualquer email.

2. Livre-se de emails que trazem links e/ou anexos. Eles provavelmente são emails maliciosos que podem baixar um cavalo de Troia de banco online no seu sistema.

3. Se você suspeitar de atividade de malware, mude suas senhas de banco online e outras credenciais imediatamente e informe seu banco sobre quaisquer transações fraudulentas. Faça o mesmo para qualquer conta que você possa ter acessado usando seu sistema infectado.

4. Instale uma solução de segurança que cubra email no seu escopo de proteção.

5. Fique longe de postagens ou anúncios na mídia social relacionadas a notificações bancárias ou financeiras. Os cibercriminosos se aproveitam da natureza onipresente das plataformas de mídia social e atacam usuários desavisados.