Pesquisadores da empresa de segurança Finjan descobriram detalhes de um novo tipo de Cavalo de Tróia bancário que não furta somente dados cadastrais, mas tira dinheiro mesmo da conta enquanto o cliente está conectado, além de apresentar um extrato falso.
O trojan bancário apelidado de URLZone foi desenvolvido para escapar da detecção pelos sistemas anti-fraude disparados por transações incomuns, como explicou o chefe de tecnologia da Finjan, Yuval Bem-Itzhak. O software é programado, por exemplo, para calcular automaticamente quanto dinheiro deve retirar da conta, baseado no saldo disponível.
O URLZone explora uma falha do Firefox, do Internet Explorer 6, 7 e 8 e do Opera, sendo diferente de trojans bancários já identificados, disse Ben-Itzhak. O programa roda um arquivo executável apenas no sistema Windows - arquivo esse que pode aparecer de diferentes maneiras, como um JavaScript ou um Adobe PDF maliciosos.
O Cavalo de Tróia específico analisado pela Finjan tinha como alvo clientes de um banco alemão, segundo o relatório da empresa. Ele foi rastreado até um servidor na Ucrânia, utilizado para enviar instruções ao software trojan em computadores infectados.
"É um Cavalo de Tróia de próxima geração, parte de uma nova linha de trojans mais sofisticados, desenhados para se desviar de sistemas anti-fraude", disse o chefe de tecnologia da Finjan.
Pesquisadores da empresa conseguiram rastrear as comunicações entre uma máquina infectada até o servidor. Nele, encontraram o console de administração do kit malicioso LuckySploit e foram capazes de ver quais as regras o trojan deveria seguir e estatísticas sobre as vítimas.
Cerca de 90 mil computadores visitaram sites que hospedavam o malware e mais de 6,4 mil deles foram infectados, uma taxa de sucesso de 7,5%. Dos computadores infectados pelo Trojan, algumas centenas tiveram dinheiro transferido de suas contas bancárias. Durante três semanas de agosto, foram desviados aproximadamente US$ 438 mil (cerca de R$ 790 mil).
As vítimas em potencial têm seus PCs infectados através de mensagens de e-mail, de sites criados especificamente para a distribuição do malware ou através de sites comprometidos pelos criminosos.
Neste caso, um kit de ferramentas chamado LuckySpoilt explora uma falha de segurança no navegador e instala o trojan no computador. Quando o software percebe que o computador está visitando o site de um determinado banco, o malware entra em ação.
O Cavalo de Tróia procura pelo saldo disponível e determina a quantia a ser desviada - ele é programado com um valor mínimo e um valor máximo, inferior à quantia necessária para ativar o sistema anti-fraude. Depois de determinar a quantia a ser transferida, o trojan efetua a transação sem o conhecimento do usuário e envia o dinheiro para a conta de um “laranja”.
O programa também esconde o furto removendo o registro da transação e exibindo um saldo falso. A vítima só perceberá que há algo errado quando tenta acessar a conta de outro computador, não infectado, ou de um caixa eletrônico – ou ainda, quando tiver uma transação negada por saldo insuficiente.
Segundo a Finjan, é o primeiro trojan identificado pela empresa que sequestra a navegação do usuário, furta o dinheiro enquanto a vítima está utilizando serviços de internet banking e depois cobre seus rastros modificando a informação apresentada à vítima – tudo em tempo real.
Para Ben-Itzhak, as pessoas devem manter atualizados seus antivírus, sistemas operacionais, navegador e outros programas para se protegerem de um ataque.
ANTERIOR 
PRÓXIMA 
Brasil elabora plano de contingência para evitar ataque cibernético
