Engenhoso trojan de acesso remoto (RAT), convence as vítimas a executarem o primeiro estágio de infecção.

 

Com foco no mercado financeiro nacional de bancos, financeiras e também no novo mercado das criptomoedas, esta nova variante de malware bancário foca no Brasil, e já dá as caras do quanto a engenharia social facilitará a vida do cibercrime.

 

Mas como ele atua?

Como toda ameaça avançada (APT) e se valendo da engenharia social, o Zumanek posiciona-se estrategicamente vigilante estudando seus alvos, visando entregar conteúdo convincente e que conduza a vítima a baixar e executar o primeiro estágio da cadeia de infecção. E esta etapa inicial, consiste no estudo e triagem da máquina onde ele está sendo rodado, e em seguida baixa o conteúdo nocivo para executá-lo.

 

Entende-se que o motivo para que explicar o porquê as detecções são feitas em sua maioria no Brasil, deve-se porque o downloader examina a língua do sistema utilizado pelo usuário e só agir se a entrada corresponder ao idioma ‘pt-br’.

 

Uma outra verificação do malware é para atingir o ponto mais fraco que são os usuários sem proteção antivírus. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes anti-ameaças. E no caso da existência de alguma proteção desse tipo, o processo é imediatamente encerrado. Agora, caso não seja encontrado antivírus, segue-se com a sequência de ataque, realizando o download do payload final e sua execução na máquina da vítima.

 

Adiante, passando para a segunda etapa, o arquivo executado fornece ao atacante o controle remoto da máquina da vítima. Então ele realiza o roubo de credencias de acesso a serviços de internet banking e a contas de serviços de criptomoedas.

 

Feita a execução dos arquivos, são enviados diversos comandos à máquina da vítima, podendo o operador também visualizar a tela do usuário, tudo isso a partir dos dados enviados, realizando comandos do tipo screenshot de tela. Dessa maneira, os dados da vítima ficam totalmente expostos.

 

Reforçamos que se deve observar sempre as boas práticas do uso da rede doméstica e corporativa. Pois em nossas rotinas, muitas vezes deixamos para executar atividades pessoais e profissionais em distintos horários, trabalhando em casa ou acessando informações bancárias na rede corporativa.

 

O trânsito de conexões entre redes protegidas e não-protegidas, facilita a injeção de malwares obtidos fora de ambiente controlado, gerando transtornos ao usuário e às organizações que procuram manter o controle sobre o uso seguro de sua infraestrutura.

 

 

Fonte: Security Report.


Cadastre-se em nossa Newsletter