Varonis identifica nova onda de roubos de dados bancários na América do Sul

Além da região, a ameaça tem milhares de vítimas em todo mundo sob controle ativo

Compartilhar:

O Varonis Security Research, time de pesquisas em segurança da informação da Varonis, empresa pioneira em segurança e análise de dados, descobriu uma campanha global de ataques cibernéticos que está espalhando uma nova variante do malware bancário Qbot, cujo principal objetivo é roubar informações financeiras, incluindo credenciais bancárias. Milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo de invasores, segundo mostra a análise da Varonis.

 

Os ataques estão, atualmente, mirando empresas nos Estados Unidos, no entanto, na medida em que chegam às redes mundiais de computadores, estão se espalhando rapidamente, com vítimas na Europa, na Ásia e na América do Sul.

 

O Qbot é um tipo já bem conhecido de malware sofisticado usado para roubar credenciais bancárias. A ameaça emprega técnicas de antianálise, frequentemente desviando dos mecanismos de detecção e usando novos vetores de infecção para ficar à frente das soluções de segurança.

 

Por se tratar de um malware polimórfico, o Qbot está em constante mudança: cria arquivos e pastas com nomes aleatórios, troca frequentemente de servidores de comando e controle e muda de carregador sempre que há uma conexão de internet ativa.

 

Como funciona o ataque

 

A variante descoberta pela Varonis mantém as características originais dos primeiros Qbots descobertos em 2009. Uma vez dentro da rede, começa a executar ataques de força bruta contra as contas dos usuários na rede, partindo do grupo de usuários do domínio do Active Directory. A ameaça então começa a rodar keyloggers, aplicativos que registram tudo que é digitado, aplicações que escaneiam e extraem processos do sistema em busca de sequências relacionadas a dados bancários e softwares para roubar credenciais.

 

O ataque foi detectado inicialmente pelo Varonis DatAlert, plataforma da Varonis equipada com a tecnologia User Behaviour Analytics, que oferece visibilidade de ameaças internas com base no comportamento do usuário, que alertou um dos clientes da Varonis na América do Norte sobre atividades suspeitas na rede, como ações “conta-gotas” e movimentos laterais internos.

 

Após a identificação, o time de especialistas da Varonis começou a analisar o ataque, revertendo a cepa do Qbot, que permitiu a identificação do servidor ativo de comando e controle usado pelo invasor, bem como a definição da escala do ataque. Com base na observação direta do servidor, a Varonis identificou que milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo dos invasores.

 

Ao analisar a nova variante, os pesquisadores descobriram que o malware chega por meio de um arquivo .zip contendo um arquivo com a extensão “.doc.vbs”. Segundo os especialistas, isso indica que a primeira infecção provavelmente ocorreu por meio de um e-mail de phishing, que levou a vítima a clicar em um arquivo VBS (Visual Basic Script) malicioso.

 

Enganar o usuário por meio de um arquivo VBS, apesar de ser uma técnica bastante antiga dos hackers, é um dos grandes diferenciais do novo Qbot segundo descobertas da Varonis. Uma vez ativado, o Qbot busca programas de antivírus instalados no sistema e usa uma ferramenta para fazer o download do malware em si, fazendo as alterações necessárias para se diferenciar de Qbots anteriores para que não possam ser identificados pelos antivírus.

 

Caso não haja conexão com internet, o malware vai copiar a si mesmo em diferentes locais no sistema infectado e, se não puder enviar informações, vai armazená-las e criptografá-las dentro do próprio dispositivo.

 

Empresas precisam estar atentas ao comportamento do usuário

 

Ao analisar um dos servidores de comando e controle, o time de pesquisadores da Varonis identificou 40 mil máquinas Windows conectadas, além de encontrar também arquivos de log contendo os IPs das vítimas, detalhes de sistemas em operação e nomes de produtos de antivírus. O servidor revelou também atividades passadas e versões adicionais de malwares. Quase todas as máquinas infectadas estavam rodando o Windows Defender, com base nos resultados do script VP que foram enviados de volta ao servidor.

 

Mesmo que os ataques tenham origem externa, para o vice-presidente da Varonis para a América Latina, Carlos Rodrigues, a maneira como o novo Qbot infecta os usuários merece atenção, especialmente quando falamos da importância do comportamento do usuário.

 

“Ataques desse tipo reforçam a importância de estar atento ao comportamento do usuário. Enganar um usuário para que ele clique em links suspeitos e roubar suas credenciais é algo relativamente fácil. Logo, as empresas não podem depender apenas da confiança de que seus colaboradores são capazes distinguir o que é seguro. Especialmente no caso das ameaças mais sofisticadas, mesmo um usuário com alto nível de conhecimento pode ser iludido em um momento de distração”, explica o vice-presidente da Varonis para a América Latina, Carlos Rodrigues.

 

Conteúdos Relacionados

Security Report | Overview

Grupos de ransomware formam aliança para expandir operações, alerta laboratório de SI

Experts do SonicWall Capture Labs identificaram a nova ameaça surgida a partir da união de dois grupos de criminosos digitais....
Security Report | Overview

31% das startups brasileiras sofreram ataques automatizados em 2024, relata pesquisa

Além disso, análise da Akamai aponta que 25% foram alvo de ransomware e roubo de credenciais, expondo fragilidade nas operações
Security Report | Overview

Estudo aponta que um em cada cinco usuários de apps de namoro foi alvo do cibercrime

Nova pesquisa da Norton mostra que 21% das pessoas no Brasil, que atualmente usam aplicativos de namoro, dizem que já...
Security Report | Overview

Programa de roubo de criptomoedas está disponível em lojas de apps, alerta pesquisa

O trojan SparkCat já foi baixado mais de 242 mil vezes apenas no Google Play. O malware é propagado tanto...