Recentemente, novos ataques foram descobertos utilizando dois trojans bancários notórios. As campanhas foram realizadas contra uma grande instituição financeira, ao longo de seis meses, e tinham como objetivo capturar os dados de acesso e de autenticação de segundo fator (2FA) dos clientes. Cerca de 100 usuários, especialmente corporativos, foram afetados por esses ataques. Há evidências de que essas ameaças estão se espalhando por todo o mundo: dos EUA, para a América Latina, Europa e Ásia.
Os trojans bancários usados são conhecidos como Zeus Panda e Marcher. O último trabalha injetando um JavaScript malicioso na página de login do banco. A injeção é feita a partir do laptop ou PC de um cliente infectado quando ele visita a página de login e permite que o malware colete credenciais, dados de cartão de crédito, informações pessoais confidenciais ou qualquer informação de interesse dos cibercriminosos. A injeção do Zeus Panda que foi encontrada era especialmente potente devido à sua capacidade de comprometer processos 2FA de duas maneiras, dependendo se o login era feito por um cliente pessoa física ou jurídica.
No caso dos clientes corporativos, o script injetado pelo Zeus Panda adicionava um campo extra no formulário para a senha de uso único (OTP) usada para 2FA. O usuário recebia o código OTP, e se preenchesse campo mal-intencionado, os dados seriam coletados junto com suas credenciais de login pelos atacantes. Já os clientes pessoa física que tentaram acessar suas contas bancárias de computadores infectados foram direcionados pelo malware para uma página falsa, onde eram convidados a baixar um aplicativo (o Trojan Marcher). Os que fizeram o download possibilitaram que os cibercriminosos interceptassem as mensagens SMS usadas na autenticação de códigos OTP, que eram enviadas para o Trojan Marcher se fazendo passar pelo app do banco.
De acordo a pesquisa da Easy Solutions, a campanha usou técnicas de phishing e engenharia social para infectar o maior número possível de clientes do banco, tanto corporativos quanto pessoais. Os que caíram na armadilha não tinham ideia de que seus PCs tinham sido infectados. O Zeus Panda fica inativo e silencioso na máquina infectada até que o cliente tente acessar a página de login do banco, e, assim que ele faz isso, o trojan injeta seu script malicioso, alterando a visualização da página do banco pelo usuário.
O malware funciona capturando todas as informações pessoais necessárias para assumir o controle total da conta bancária online da vítima. A armadilha definida pelo Trojan Zeus Panda foi difícil de detectar, uma vez que todos os campos de formulário que ele exibia para o usuário pareciam exatamente iguais aos da página de login oficial do banco (salvo o campo solicitando o código OTP). Quando a vítima inseria seus dados de login, eles eram coletados pelo malware e enviados para o comando dos criminosos em vez de para os sistemas do banco.
Do Zeus Panda para o Marcher
O comportamento do malware daí em diante vai depender do tipo de cliente comprometido. O processo de verificação de identidade é mais seguro para clientes corporativos do que para contas pessoais, sendo um obstáculo para o Trojan. Para contornar isso, o malware simplesmente solicitou – e o usuário, provavelmente sem perceber nada de errado, forneceu – o código OTP recebido no processo 2FA. Quando fez isso, ele foi direcionado para uma tela com a mensagem: “Desculpe, esta página não está disponível atualmente.” Essa era uma cortina de fumaça para confundir o usuário, mas não a ponto de ele ficar desconfiado e contatar o banco.
Para os clientes pessoa física que acabaram fornecendo seus dados de acesso para os criminosos, o processo era um pouco diferente. Eles eram redirecionados para uma página que solicitava que baixassem o “mais recente app de segurança móvel” do banco. O usuário, acreditando que o banco estava implantado uma nova medida de segurança para mantê-lo seguro (sem informá-lo previamente), geralmente realizava o procedimento. Eles eram levados a baixar o programa falso “de segurança” não de uma loja de aplicativos oficial, mas de um link fornecido pelo cibercriminoso. Quando faziam isso, seus dispositivos eram infectados com o trojan bancário Marcher.
Com o Trojan Marcher em jogo, o cibercriminoso estava pronto para capturar o código fornecido pelo banco para o processo 2FA, e como o cliente não sabia o que estava ocorrendo, a medida de segurança poderia ser contornada. O hacker tinha agora tudo o que precisava para acessar a página de login do banco, digitar as credenciais roubadas dos clientes pessoa física, e quando o banco enviasse automaticamente um SMS para o usuário com o código de confirmação, o vírus Trojan Marcher poderia redirecioná-lo do telefone da vítima para os sistemas dos criminosos. Eles poderiam, então, transferir fundos das contas dos clientes à vontade.
Como as ameaças foram detectadas e remediadas
A solução Detect Safe Browsing (DSB) Clientless detectou a presença da injeção de malware na página transacional quando um cliente tentou acessá-la de um dispositivo infectado. O DSB, então, apresentou provas acionáveis da fraude, fornecendo um screenshot do malware em ação e permitindo que a instituição agisse imediatamente.
Enquanto isso, o centro de operações de segurança da Easy Solutions foi informado da presença dos dois trojans, que foram incluídos na base de conhecimento para garantir que esse tipo de ataque seja detectado imediatamente quando os criminosos tentarem implementá-lo novamente. Outra solução de navegação segura para mobile, DSB móvel, protege todas as comunicações entre a plataforma do banco e o celular do cliente, incluindo as mensagens de texto, o que significa que aplicativos mal-intencionados como o Marcher não conseguem coletar informações do usuário ou de processos 2FA. Além disso, os casos em que os aplicativos maliciosos usam outras técnicas para roubar credenciais (como sobreposição de aplicativos, keyloggers ou pharming) também são cobertos pela proteção DSB Mobile.
Finalmente, os clientes do banco que baixarem e instalarem o DSB Client em seus PCs estarão automaticamente protegidos, graças à incorporação dos dados do ataque na base de conhecimento. O DSB Client pode efetivamente neutralizar o efeito de Zeus Panda e de todos os outros trojans bancários, bloqueando a comunicação do malware com a estrutura de comando e controle dos atacantes. A Easy Solutions tem rastreado a evolução do Trojan Zeus Panda, possibilitando a detecção de tentativas desenvolvimento ou reempacotamento do malware ou dos seus servidores de comando e controle e permitindo uma reação eficiente quando esses casos são identificados. Essas ações neutralizam ataques futuros, já que deixa de ser lucrativo para o hacker relançar o ataque contra a mesma instituição. Frustrado, ele desistirá e partirá para alvos mais vulneráveis – e fáceis.