A Trend Micro mapeou no mercado de ofertas do submundo digital brasileiro um malware do tipo Cavalo de Tróia bancário com infraestrutura completa e totalmente funcional, que pode ser alugado pelos usuários. Uma ameaça em especial, chamou a atenção da empresa: um dos criminosos que atende pelo codinome “Ric”, cobra R$ 2.000,00 por cada dez dias de uso do Trojan. O serviço inclui um console abrangente, altamente capaz e bem concebido e um método que dribla as etapas adicionais de autenticação utilizadas pelos bancos no Brasil.
Os cibercriminosos brasileiros são conhecidos por serviços de anúncios online, e Ric não é diferente. Ele usa uma conta do YouTube para mostrar seus produtos. A descrição do canal contém mais informações: “Aluguel de Trojans bancários ou venda de código-fonte, mais de nove bancos suportados, versão 2016.”
Três vídeos analisados pela Trend Micro mostram diferentes aspectos do Trojan bancário; juntos, eles têm quase 1.000 views. Cada um contém um link que direciona para uma página com métodos de pagamento. De acordo com a empresa, é provável que Ric trabalhe por conta própria, e não faça parte de uma organização maior. Além disso, ele divulga também o seu nome de usuário do Skype para que os clientes interessados possam negociar com ele.
Os clientes dele têm acesso também a um histórico de mudanças informativo do Trojan, que os avisa sobre quaisquer alterações/melhorias no malware. A Trend Micro detectou este Trojan em particular como BKDR_MANGIT.SM. Além disso, uma tabela com todos os bancos “suportados” também é fornecida.
Os maiores bancos do Brasil estão incluídos na lista, bem como sites de pagamento online e um local de leilões. Provedores de Internet e de webmail também estão incluídos.
O pacote inteiro é alugado por 2 mil reais em um período de dez dias, relativamente caro para o mercado clandestino brasileiro, e inclui: um painel de controle para operar/administrar as máquinas infectadas; o Trojan bancário em si; um loader para carregar o Trojan nos equipamentos contaminados; um programa para atualização automática do malware; e toda a infraestrutura necessária para realizar ataques bem-sucedidos.
Para os compradores que desejam ter total controle de seus ataques e possam montar sua própria infraestrutura, o código fonte está disponível por 30 mil reais.
Como o ataque funciona
Os bancos brasileiros hoje protegem muitas contas com modelos de autenticação, seja por mensagens SMS ou por um aplicativo autenticador, os chamados token.
Para contornar esta proteção, os hackers evitam essa autenticação por um acesso remoto que funciona da seguinte forma: Uma vez que o Trojan é instalado, o atacante tem domínio sobre a máquina da vítima. Quando o site do banco é acessado, o cibercriminoso recebe um aviso (que pode ser enviado até mesmo por SMS).
O hacker, em seguida, começa a observar a tela do computador da vítima, esperando que ela faça o login em sua conta bancária. Depois disso, é bloqueada a tela da vítima e a mensagem faz com que a vítima pense que o site do banco está lhe pedindo para esperar.
O atacante assume o controle da máquina da vítima e começa uma transferência de dinheiro ou realização do pagamento de contas. Quando o site do banco pede o token para o atacante, uma janela falsa aparece, fazendo a vítima acreditar que ela precisa digitar o token para continuar, mas na verdade, será entregue ao atacante. De posse do token, o atacante pode então completar a transação maliciosa a partir da máquina da vítima.
O aplicativo é completo e se comporta de forma muito parecida a uma ferramenta profissional. A detecção de fraude, se torna ainda mais difícil quando as operações são orquestradas por meio da máquina de um cliente real. Sem uma análise profunda do sistema, o que aparenta é que todas as transações são realizadas a partir do computador do usuário, mostrando a urgência na criação de técnicas antifraude mais evoluídas.
Quem é Ric?
A Trend Micro tem poucas pistas sobre o perfil dele. O que pode ser afirmado é que seu “trabalho” é de alta qualidade. Tudo é codificado a partir do zero e, às vezes, packers (compressores de executáveis) são usados para proteger seus arquivos. Algumas amostras também foram assinadas com certificados para tentar contornar softwares de segurança.
Ric tem pelo menos outros três apelidos e provavelmente está localizado no norte do Brasil, região conhecida por um histórico em atividade cibercriminosa. Ainda, segundo os pesquisadores de segurança, até o momento, o hacker mantém-se ativo.
