Malware Zumanek rouba credenciais bancárias e mira o Brasil

Ameaça age como trojan de acesso remoto (RAT) e se vale de engenharia social para convencer vítimas a executar primeiro estágio de infecção; malware analisa a língua do sistema para confirmar ser “pt-br” e baixa o payload final; no último estágio, cibercriminoso pode controlar dispositivo infectado e obter screenshots da tela

Compartilhar:

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

 

Há aproximadamente três meses a ESET detectou o Zumanek, uma nova família de malwares bancários, que ataca quase que exclusivamente o Brasil. Seu nível de detecção ainda não o coloca no top 10 de spywares/bankers mais detectados no país, mas o vírus traz indícios dos planos futuros do cibercrime brasileiro, focado em bancos e criptomoedas.

 

A empresa analisou uma amostra dessa família de malwares (versão 3.0) com o objetivo de entender seu funcionamento e verificar as precauções tomadas por seus desenvolvedores para evitar a detecção.

 

Atuação do malware bancário

 

Para chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a pessoa a baixar e executar o primeiro estágio de infecção.

 

Nesse primeiro estágio, o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final (parte do vírus que executa a ação nociva) e, por fim, executá-lo na máquina comprometida.

 

Um dos motivos que explicam as detecções serem (quase que) exclusivamente no Brasil, está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se entrada corresponder a ‘pt-br’.

 

Outra verificação do malware é com relação à proteção da máquina. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes antivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado. Caso não haja antivírus, o malware prossegue com o download do payload final e sua execução na máquina da vítima.

 

Ao final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é verificado se os arquivos foram baixados e modificados corretamente.

 

Se a verificação for positiva, o payload final é executado. Caso contrário, os arquivos são escondidos (FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.

 

Na sequência, chega-se ao segundo estágio, que tem como finalidade prover ao atacante o controle remoto à máquina da vítima, para o roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda.

 

A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa (biblioteca dinâmica de dados para execução de tarefas) que é carregada pelo executável, executando, na sequência, o arquivo legítimo.

 

Após a execução dos arquivos, o Zumanek pode enviar diversos comandos à máquina da vítima. Além disso, o operador pode também visualizar a tela do usuário a partir dos dados enviados, realizando os seguintes comandos:

 

PRIMEIRAFOTO – Tira screenshot da máquina da vítima e envia o tamanho da screenshot comprimida (zlib)

 

SEGUNDAFOTO – Cria diff da screenshot atual com a anterior e envia tamanho do diff

 

MANDASTREAM – Envia screenshot comprimida e diff

 

Isso significa que os dados bancários da vítima se tornam completamente expostos e, consequentemente, vulneráveis.

 

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

 

“Como vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento, principalmente quando utilizamos as facilidades trazidas pelas plataformas bancárias online e, agora, pelas criptomoedas”, finaliza Camillo Di Jorge, Country Manager da ESET no Brasil.

 

Conteúdos Relacionados

Security Report | Destaques

CISO sob os holofotes: o que falta para os líderes assumirem seu papel executivo?

Tanto as novas ameaças de Cibersegurança quanto a maior atenção dos boards sobre esse tema levaram os CISOs a preencherem...
Security Report | Destaques

Hospital da Criança de Brasília confirma paralisação por ataque hacker

Incidente teria se iniciado no último fim de semana, exigindo que a organização indisponibilizasse todos os sistemas e fornecesse os...
Security Report | Destaques

Newland reforça apoio de Cibersegurança contra novas ameaças cibernéticas

Assim como em outros casos de empresas em crescimento, o Grupo New, gestora das concessionárias Newland, decidiu agir contra o...
Security Report | Destaques

Prefeitura de Guajará-Mirim sofre invasão cibernética

Em nota, o executivo municipal confirmou que dados foram sequestrados pelo ataque, mas não comprovou a ação de um ransomware,...