Malware Zumanek rouba credenciais bancárias e mira o Brasil

Ameaça age como trojan de acesso remoto (RAT) e se vale de engenharia social para convencer vítimas a executar primeiro estágio de infecção; malware analisa a língua do sistema para confirmar ser “pt-br” e baixa o payload final; no último estágio, cibercriminoso pode controlar dispositivo infectado e obter screenshots da tela

Compartilhar:

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

 

Há aproximadamente três meses a ESET detectou o Zumanek, uma nova família de malwares bancários, que ataca quase que exclusivamente o Brasil. Seu nível de detecção ainda não o coloca no top 10 de spywares/bankers mais detectados no país, mas o vírus traz indícios dos planos futuros do cibercrime brasileiro, focado em bancos e criptomoedas.

 

A empresa analisou uma amostra dessa família de malwares (versão 3.0) com o objetivo de entender seu funcionamento e verificar as precauções tomadas por seus desenvolvedores para evitar a detecção.

 

Atuação do malware bancário

 

Para chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a pessoa a baixar e executar o primeiro estágio de infecção.

 

Nesse primeiro estágio, o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final (parte do vírus que executa a ação nociva) e, por fim, executá-lo na máquina comprometida.

 

Um dos motivos que explicam as detecções serem (quase que) exclusivamente no Brasil, está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se entrada corresponder a ‘pt-br’.

 

Outra verificação do malware é com relação à proteção da máquina. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes antivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado. Caso não haja antivírus, o malware prossegue com o download do payload final e sua execução na máquina da vítima.

 

Ao final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é verificado se os arquivos foram baixados e modificados corretamente.

 

Se a verificação for positiva, o payload final é executado. Caso contrário, os arquivos são escondidos (FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.

 

Na sequência, chega-se ao segundo estágio, que tem como finalidade prover ao atacante o controle remoto à máquina da vítima, para o roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda.

 

A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa (biblioteca dinâmica de dados para execução de tarefas) que é carregada pelo executável, executando, na sequência, o arquivo legítimo.

 

Após a execução dos arquivos, o Zumanek pode enviar diversos comandos à máquina da vítima. Além disso, o operador pode também visualizar a tela do usuário a partir dos dados enviados, realizando os seguintes comandos:

 

PRIMEIRAFOTO – Tira screenshot da máquina da vítima e envia o tamanho da screenshot comprimida (zlib)

 

SEGUNDAFOTO – Cria diff da screenshot atual com a anterior e envia tamanho do diff

 

MANDASTREAM – Envia screenshot comprimida e diff

 

Isso significa que os dados bancários da vítima se tornam completamente expostos e, consequentemente, vulneráveis.

 

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

 

“Como vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento, principalmente quando utilizamos as facilidades trazidas pelas plataformas bancárias online e, agora, pelas criptomoedas”, finaliza Camillo Di Jorge, Country Manager da ESET no Brasil.

 

Conteúdos Relacionados

Security Report | Destaques

AT&T comunica acesso indevido aos dados dos clientes

Registros de chamadas telefônicas e mensagens de texto de quase todos os clientes foram baixados ilegalmente. Em nota, a companhia...
Security Report | Destaques

“Transparência é o fator-chave da relação entre SI e empresa”, afirma Gil Vega, CISO da Veeam

O atual líder de Segurança da Informação da vendor falou com exclusividade à Security Report sobre sua trajetória em diversos...
Security Report | Destaques

BRASPRESS retoma funcionamento do site oficial após ataque de ransomware

Incidente que causou a parada de diversos sistemas operacionais da companhia se deu ainda no começo dessa semana, e forçou...
Security Report | Destaques

Problemas técnicos causam perda de dados de 39 mil chaves Pix da 99Pay

Incidente ocorrido entre 26 de junho e 2 de julho desse ano foi revelado pelo próprio Banco Central do Brasil...