A S21sec, empresa do Grupo Sonae especializada em cibersegurança e líder neste setor, descobriu uma nova família de malware que tem como finalidade transferir dinheiro de forma fraudulenta da conta da vítima para outras contas bancárias. Este novo malware bancário tem por base o já conhecido código de malware "URLZONE", detetado pela primeira vez em 2009.
Segundo a S21sec conseguiu confirmar, esta campanha está a ser dirigida sobretudo a clientes de entidades espanholas, no entanto, e com base padrões de evolução verificados em ataques de malware semelhantes, a utilização deste tipo de malware poderá acabar por afetar outras empresas em todo o mundo. Estes ataques têm sido realizados utilizando como principal via de distribuição o envio de um email acompanhado de um anexo com a extensão “.pdf.exe” comprimido num documento denominado “factura-xxxx.pdf.zip”.
Processo de infeção
Uma das características deste tipo de malware prende-se com a utilização da tecnologia DGA (Domain Generation Algorithm), que consiste em gerar periodicamente uma grande quantidade de domínios aleatórios para dificultar o encerramento da botnet. Graças ao DGA, o botmaster é capaz de prever os domínios que se tentam conectar, permitindo antecipar-se e registar por si mesmo um deles e assim ativar a comunicação com a máquina infetada e com o servidor.
A S21sec confirmou que este malware parece afetar entidades financeiras muito à semelhança do que acontece com outras botnets de famílias de malware específicas, como a Tinba, Kins, Pykbot e a Xswkit. Isto significa que todas elas poderão estar a ser geridas pela mesma rede criminosa, a utilizar os mesmos processos de disseminação e a recorrer ao ATS.
A partir do momento em que o processo de infeção estiver concluído, é efetuada uma injeção de código HTML em tempo real para enganar o utilizador infetado com engenharia social: o cliente recebe uma pedido supostamente do seu banco para efetuar a devolução de um valor que foi depositado na sua conta por engano. Sem que seja modificada a página web da entidade bancária, aparece na realidade ao cliente um saldo superior ao que era suposto, levando-o a realizar de livre vontade uma transferência fraudulenta para uma outra conta bancária através do sistema ATS.
Segundo Xabier Michelena, CEO da S21sec, “na S21sec estamos compremetidos com a investigação deste tipo de ameaças, e queremos garantir as melhores soluções aos nossos clientes. E por isso queremos alertar sobre o funcionamento deste novo malware, que já está a ter uma repercussão muito forte em Espanha”.
A S21sec recomenda aos utilizadores/clientes que contactem de imediato a sua entidade bancária caso lhes seja solicitado a realização de alguma devolução ou retificação.
