Recentemente uma família de malwares bancários – ou bankers – foi descoberta. A ameaça usa uma nova técnica para manipular o navegador, fazendo com que as transações bancárias sejam enviadas para as contas dos invasores, sem que o usuário suspeite.
Ao invés de usar métodos complexos para monitorar a atividade do navegador, esse malware intercepta eventos específicos do loop de mensagens do Windows, de maneira que consegue verificar, nas janelas do programa, as atividades bancárias realizadas. Uma vez que a atividade bancária é detectada, o malware injeta um JavaScript malicioso no site. Todas essas operações são realizadas sem que o usuário perceba.
Em janeiro de 2018, a ESET identificou o grupo responsável por este malware. Em seus primeiros ataques, os cibercriminosos utilizavam uma ameaça que roubava criptomoedas, substituindo o endereço das carteiras na área de transferência. Por alguns meses, o grupo se concentrou em criar malwares de área de transferência, até que, finalmente, introduziu a primeira versão do banker. Como resultado, houve um pico na taxa de detecção em comparação com projetos anteriores dos mesmos criminosos. Isso ocorreu devido ao fato de que os atacantes eram muito ativos no desenvolvimento do malware bancário e introduziam novas versões quase diariamente.
O malware é distribuído por meio de campanhas maliciosas de spam via e-mail, que contêm como anexo um downloader JavaScript disfarçado de uma família comumente conhecida como Nemucod. Segundo as análises, as campanhas de spam são direcionadas principalmente contra usuários poloneses.
Caracteriza-se por manipular o sistema simulando as ações de um usuário. O malware não interage em nenhum ponto com o navegador no nível do processador, portanto, não requer privilégios especiais e cancela qualquer otimização do navegador por terceiros; que geralmente se concentram em métodos convencionais de injeção. Outra vantagem para os invasores é que o código não depende da arquitetura do navegador ou de sua versão, além disso, um único padrão de código funciona para todos os navegadores.
Uma vez identificado, o malware implementa um script específico para cada banco, já que cada site bancário é diferente e tem um código fonte diferenciado. Esses scripts são injetados em páginas nas quais o banker identificou uma solicitação para iniciar uma transferência bancária, como o pagamento de uma conta. O script secretamente injetado substitui o número da conta do destinatário por um diferente e, quando a vítima decide fazer a transferência bancária, o dinheiro será enviado para o atacante. Qualquer medida de segurança contra pagamentos não autorizados, como duplo fator de autenticação, não será útil nesse caso, pois o proprietário da conta está enviando a transferência voluntariamente.
O número de contas bancárias maliciosas é alterado com frequência e praticamente todos os ataques têm uma nova. O malware só vai roubar dinheiro se o valor da transferência bancária estiver dentro de um determinado intervalo – eles geralmente são escolhidos entre valores de 2,8 a 5,6 mil dólares. O script substitui a conta bancária de recebimento original e, também, o campo de entrada desses números por um falso que mostra a conta bancária original, para que o usuário veja o número válido e não suspeite de nada.
“Essa descoberta nos mostra que, no decorrer da batalha entre a indústria de segurança e os autores de bankers, novas técnicas maliciosas não precisam ser altamente sofisticadas para serem efetivas. Acreditamos que, na medida em que os navegadores estão mais protegidos contra a injeção de códigos convencionais, os autores de malware irão atacar de maneiras diferentes. Nesse sentido, o Win32/BackSwap.A simplesmente nos mostrou uma das possibilidades”, diz Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET na América Latina.