Back to Blog

Malware que rouba dados bancários tem foco exclusivo no Brasil

May 15, 2020

By: mirabiliscorp

Os dados bancários de usuários brasileiros são o alvo preferencial do Astaroth, um “supervírus” revelado nesta semana pela Cisco Talos que trabalha com foco exclusivo no Brasil, usando o nome de empresas conhecidas e informações sobre o novo coronavírus para se propagar por e-mail. O alerta emitido pelo braço de cibersegurança da empresa de tecnologia chama a atenção para o ineditismo da campanha e para seu nível de sofisticação.

Em um primeiro olhar, o funcionamento parece trivial. Usando mensagens que chegam em nome de marcas como Localiza, ENEL, Receita Federal, empresas de cobrança e até o Ministério da Saúde, os hackers tentam induzir a vítima a clicar em links maliciosos, acessar páginas comprometidas e instalar o malware. É aí, entretanto, que começa a segunda parte do golpe, muito mais sofisticada e com potencial para se tornar mais do que uma simples campanha massiva de roubo de dados financeiros.

De acordo com o especialista da Cisco Security, Fernando Zamai, a infecção acontece em etapas, com o Astaroth possuindo diferentes maneiras de ser executado e de se esconder dos olhos do usuário e das verificações de softwares de segurança. “A riqueza e a sofisticação [do ataque] chamou nossa atenção. Os responsáveis pela praga gastaram tempo e recursos nessas técnicas de ofuscação”, afirma Zamai. Esse aspecto, aliado ao foco exclusivo em usuários do Brasil, são elementos únicos em campanhas dessa categoria.

A esse fator, o especialista dedica atenção especial. De acordo com ele, a disseminação do SARS-CoV-2 não apenas é usada como método de entrada, a partir de links supostamente informativos, como sua chegada levou muitos colaboradores a trabalharem de casa. “Sistemas de segurança que levariam meses para serem instalados tiveram de ser ativados em dias”, completa. O resultado, claro, é um caráter inadequado em relação a políticas de segurança, com funcionários trabalhando em computadores próprios e acessando redes internas sem os devidos protocolos existentes dentro das corporações.

Como em outras pragas desse tipo, o Astaroth utiliza servidores de comando e controle para receber as instruções necessárias e realizar a interceptação de dados. Entretanto, ao contrário do que normalmente acontece, os hackers optaram por links em serviços como o Google Drive ou códigos em descrições de canais no YouTube, além de domínios registrados especialmente para esse fim. São dezenas de opções, de forma que o bloqueio de algumas delas acabe não impedindo o funcionamento da praga.

O uso de plataformas consagradas também tem um motivo simples — serviços reconhecidos de cloud computing, como os do Google, costumam ser liberados nas redes internas das empresas, enquanto nas conexões domésticas, o YouTube é figurinha carimbada. Além disso, de acordo com o especialista, essa presença em plataformas fortes impede desligamentos como o do WannaCry, com um único registro de domínio pelo hacker Marcus Hutchins sendo capaz de encerrar uma infecção global.

Fonte: Canaltech

Contact us

Safety is essential to your decision making. We are sure that our team can clarify any doubts. After all, we understand security.

contact@sikur.com

Follow us

Try SIKUR





Contact Us
First Name*
Last Name*
E-mail*
Mobile Number*
Company*
Country*
Tell us what do you need* ?
Products: Hold CTRL+Click to add more than 1.* ?
Comments
I agree to the Privacy Policy and Terms of Service.