4 Trojans bancários brasileiros perigosos agora tentando roubar usuários em todo o mundo - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

4 Trojans bancários brasileiros perigosos agora tentando roubar usuários em todo o mundo

Na terça-feira, pesquisadores de segurança cibernética detalharam até quatro famílias diferentes de trojans bancários brasileiros que têm como alvo instituições financeiras no Brasil, América Latina e Europa.

Coletivamente chamadas de "Tetrade" pelos pesquisadores da Kaspersky, as famílias de malware - que incluem Guildma, Javali, Melcoz e Grandoreiro - desenvolveram suas capacidades para funcionar como backdoor e adotaram uma variedade de técnicas de ofuscação para ocultar suas atividades maliciosas do software de segurança.





"Guildma, Javali, Melcoz e Grandoreiro são exemplos de mais um grupo / operação bancária brasileira que decidiu expandir seus ataques no exterior, visando bancos em outros países", disse Kaspersky em uma análise .

"Eles se beneficiam com o fato de muitos bancos que operam no Brasil também terem operações em outros países da América Latina e Europa, facilitando a extensão de seus ataques contra clientes dessas instituições financeiras".

Um processo de implantação de malware em vários estágios


Guildma e Javali empregam um processo de implantação de malware em vários estágios, usando e-mails de phishing como um mecanismo para distribuir as cargas úteis iniciais.

A Kaspersky descobriu que o Guildma não apenas adicionou novos recursos e furtividade às suas campanhas desde a sua origem em 2015, mas também expandiu-se para novos alvos além do Brasil para atacar usuários bancários na América Latina. Uma nova versão do malware, por exemplo, usa anexos de email compactados (por exemplo, .VBS, .LNK) como um vetor de ataque para camuflar as cargas maliciosas ou um arquivo HTML que executa um pedaço de código JavaScript para baixar o arquivo e buscar outros módulos usando uma ferramenta de linha de comando legítima como o BITSAdmin . Além disso, tira proveito dos fluxos de dados alternativos do NTFS



para ocultar a presença das cargas transferidas por download nos sistemas de destino e utiliza o DLL Search Order Hijacking para iniciar os binários de malware, apenas prosseguindo se o ambiente estiver livre de ferramentas de depuração e virtualização.





"Para executar os módulos adicionais, o malware usa a técnica oca do processo para ocultar a carga maliciosa dentro de um processo na lista de permissões, como o svchost.exe", disse Kaspersky. Esses módulos são baixados de um servidor controlado por invasor, cujas informações são armazenadas nas páginas do Facebook e do YouTube em um formato criptografado.

Uma vez instalada, a carga útil final monitora sites específicos do banco, que, quando abertos, acionam uma cascata de operações que permitem que os cibercriminosos realizem qualquer transação financeira usando o computador da vítima.

O Javali (ativo desde novembro de 2017), da mesma forma, baixa cargas úteis enviadas por e-mail para buscar um malware de estágio final de um C2 remoto capaz de roubar informações financeiras e de login de usuários no Brasil e no México que estão visitando sites de criptomoeda (Bittrex) ou pagamento soluções (Mercado Pago).

Roubando senhas e carteiras de Bitcoin


O Melcoz, uma variante do PC de acesso remoto RAT de código aberto, está vinculado a uma série de ataques no Chile e no México desde 2018, com o malware capaz de roubar senhas da área de transferência, navegadores e carteiras Bitcoin, substituindo a carteira original informações com uma alternativa duvidosa de propriedade dos adversários.

Ele usa scripts VBS nos arquivos do pacote do instalador (.MSI) para baixar o malware no sistema e, posteriormente, abusa do interpretador AutoIt e do serviço NAT VMware para carregar a DLL mal-intencionada no sistema de destino.

"O malware permite ao invasor exibir uma janela de sobreposição na frente do navegador da vítima para manipular a sessão do usuário em segundo plano", disseram os pesquisadores. "Dessa forma, a transação fraudulenta é realizada na máquina da vítima, dificultando a detecção de soluções antifraude no final do banco".

Além disso, um agente de ameaças também pode solicitar informações específicas solicitadas durante uma transação bancária, como uma senha descartável, ignorando a autenticação de dois fatores.


Por fim, Grandoreiro é rastreado para uma campanha espalhada pelo Brasil, México, Portugal e Espanha desde 2016, permitindo que os atacantes realizem transações bancárias fraudulentas usando os computadores das vítimas para contornar as medidas de segurança usadas pelos bancos.

O malware em si é hospedado nas páginas do Google Sites e entregue por sites comprometidos e pelo Google Ads ou métodos de spear-phishing, além de usar o DGA ( Domain Generation Algorithm ) para ocultar o endereço C2 usado durante o ataque.

"Os bandidos brasileiros estão criando rapidamente um ecossistema de afiliados, recrutando criminosos cibernéticos para trabalhar em outros países, adotando o MaaS (malware como serviço) e adicionando rapidamente novas técnicas ao malware, como uma maneira de mantê-lo relevante e financeiramente atraente para eles." seus parceiros ", concluiu Kaspersky.

"Como ameaça, essas famílias de cavalos de troia bancários tentam inovar usando DGA, cargas criptografadas, ocultação de processos, seqüestro de DLL, muitos LoLBins, infecções sem arquivo e outros truques como uma maneira de obstruir a análise e a detecção. Acreditamos que essas ameaças serão evoluir para atingir mais bancos em mais países ".


Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search