Malware bancário está tentando escapar, empresas de segurança alertam

Como resultado, os bancos começaram a implantar sistemas para monitorar como os clientes interagem com seus sites. e detectar anomalias que possam indicar atividade de malware. No entanto, parece que alguns criadores de malware estão retornando a técnicas mais tradicionais que envolvem roubar credenciais e usá-las de um computador diferente para evitar serem detectadas.

[Leia mais: Como remover malware do seu PC com Windows]

Trojans Familiares, nova técnica

Pesquisadores da Trusteer detectaram recentemente alterações nos programas Trojan financeiros Tinba e Tilon projetados para impedir que as vítimas acessem os sites reais de bancos on-line e substituam suas páginas de log-in por versões desonestas.

"O cliente acessa o site do banco, o malware apresenta uma página completamente falsa que se parece com a página de login do banco", disse o diretor de tecnologia da Trusteer, Amit Klein, em um post no blog. "Quando o cliente insere suas credenciais de login na página falsa, o malware apresenta uma mensagem de erro alegando que o serviço bancário on-line está indisponível. Enquanto isso, o malware envia as credenciais de login roubadas ao fraudador que usa uma máquina completamente diferente para faça login no banco como cliente e execute transações fraudulentas. "

Se o banco usa autenticação multifator que exige senhas de uso único (OTPs), o malware também solicita essas informações na página falsa.

Esse tipo de roubo de credenciais é semelhante aos ataques tradicionais de phishing, mas é mais difícil de detectar porque o URL na barra de endereços do navegador é o do site real e não falso.

"Não é tão sofisticado quanto injetar transações em sessões de web banking em tempo real, mas cumpre seu objetivo de evitar a detecção ", disse Klein.

Esse recurso de" substituição de página inteira "está presente na versão 2 do Tinba, que os pesquisadores da Trusteer recentemente y descoberto e analisado. O malware vem com suporte para o Google Chrome e tenta limitar seu tráfego de rede armazenando imagens carregadas na página falsa localmente.

Já em uso

Segundo os pesquisadores da Trusteer, o Tinba v2 já é usado em ataques direcionados a grandes empresas financeiras. instituições e serviços da Web ao consumidor.

"Os bancos sempre enfrentaram dois vetores de ataque no canal on-line", disse Klein. "O primeiro é o roubo de credenciais. Há várias maneiras de executar esse tipo de ataque, incluindo malware, pharming e phishing. O segundo vetor de ataque é o sequestro de sessão, que é obtido por meio de malware. Esses dois vetores exigem duas soluções diferentes".

Bancos deve garantir que eles tenham proteção contra os dois tipos de ataques, caso contrário, os cibercriminosos adaptarão rapidamente suas técnicas, disse Klein. "Você não pode colocar uma tranca na sua porta e deixar a janela aberta".