Malware Zumanek rouba credenciais bancárias e mira o Brasil

Ameaça age como trojan de acesso remoto (RAT) e se vale de engenharia social para convencer vítimas a executar primeiro estágio de infecção; malware analisa a língua do sistema para confirmar ser “pt-br” e baixa o payload final; no último estágio, cibercriminoso pode controlar dispositivo infectado e obter screenshots da tela

Compartilhar:

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

 

Há aproximadamente três meses a ESET detectou o Zumanek, uma nova família de malwares bancários, que ataca quase que exclusivamente o Brasil. Seu nível de detecção ainda não o coloca no top 10 de spywares/bankers mais detectados no país, mas o vírus traz indícios dos planos futuros do cibercrime brasileiro, focado em bancos e criptomoedas.

 

A empresa analisou uma amostra dessa família de malwares (versão 3.0) com o objetivo de entender seu funcionamento e verificar as precauções tomadas por seus desenvolvedores para evitar a detecção.

 

Atuação do malware bancário

 

Para chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a pessoa a baixar e executar o primeiro estágio de infecção.

 

Nesse primeiro estágio, o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final (parte do vírus que executa a ação nociva) e, por fim, executá-lo na máquina comprometida.

 

Um dos motivos que explicam as detecções serem (quase que) exclusivamente no Brasil, está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se entrada corresponder a ‘pt-br’.

 

Outra verificação do malware é com relação à proteção da máquina. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes antivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado. Caso não haja antivírus, o malware prossegue com o download do payload final e sua execução na máquina da vítima.

 

Ao final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é verificado se os arquivos foram baixados e modificados corretamente.

 

Se a verificação for positiva, o payload final é executado. Caso contrário, os arquivos são escondidos (FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.

 

Na sequência, chega-se ao segundo estágio, que tem como finalidade prover ao atacante o controle remoto à máquina da vítima, para o roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda.

 

A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa (biblioteca dinâmica de dados para execução de tarefas) que é carregada pelo executável, executando, na sequência, o arquivo legítimo.

 

Após a execução dos arquivos, o Zumanek pode enviar diversos comandos à máquina da vítima. Além disso, o operador pode também visualizar a tela do usuário a partir dos dados enviados, realizando os seguintes comandos:

 

PRIMEIRAFOTO – Tira screenshot da máquina da vítima e envia o tamanho da screenshot comprimida (zlib)

 

SEGUNDAFOTO – Cria diff da screenshot atual com a anterior e envia tamanho do diff

 

MANDASTREAM – Envia screenshot comprimida e diff

 

Isso significa que os dados bancários da vítima se tornam completamente expostos e, consequentemente, vulneráveis.

 

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

 

“Como vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento, principalmente quando utilizamos as facilidades trazidas pelas plataformas bancárias online e, agora, pelas criptomoedas”, finaliza Camillo Di Jorge, Country Manager da ESET no Brasil.

 

Conteúdos Relacionados

Security Report | Destaques

Prefeitura de Barra de São Francisco confirma ciberataque ao canal oficial no YouTube

O município capixaba informou, por meio de nota veiculada no site da instituição, que o incidente possibilitou aos invasores publicarem...
Security Report | Destaques

APIs impulsionadas por IA: da inovação à exposição ao risco

A F5 apresentou novos dados da pesquisa State of Application Strategy, destacando como a criação acelerada de APIs por Inteligência...
Security Report | Destaques

Maiores riscos da IA são vieses de comportamento, alerta especialista

Em entrevista à Security Report, Ghassan Dreibi, Cyber Security Director da Cisco, destaca que a manipulação sutil da Inteligência Artificial...
Security Report | Destaques

Klabin eleva proteção contra phishing com monitoramento e conscientização unificados

A companhia produtora de celulose tinha como um de seus grandes desafios escalar a proteção de e-mails contra ataques de...