Novos Cavalos de Tróia Bancários Ganham Polonês

Ilustração de Andrew BanneckerCriminals hoje pode seqüestrar sessões bancárias on-line ativas, e novos cavalos de Tróia podem falsificar o saldo da conta para evitar que as vítimas vejam que estão sendo enganadas.

Tradicionalmente, esse malware roubava nomes de usuários e senhas de bancos específicos; mas o criminoso teve que acessar a conta comprometida manualmente para retirar fundos. Para parar esses ataques, os serviços financeiros desenvolveram métodos de autenticação, como ID do dispositivo, geolocalização e perguntas desafiadoras.

Infelizmente, os criminosos que enfrentam esses obstáculos ficaram mais inteligentes também. Um Trojan Horse, URLzone, é tão avançado que o fornecedor de segurança Finjan o vê como um programa de última geração.

[Outras leituras: Como remover malware do seu PC com Windows]

Maior Sofisticação

muito mais furtivo e ocorre em tempo real. Ao contrário dos keyloggers, que apenas registram as teclas pressionadas, a URLzone permite que os criminosos se conectem, forneçam a autenticação necessária e seqüestrem a sessão falsificando as páginas do banco. Os assaltos são conhecidos como ataques man-in-the-middle porque a vítima e o atacante acessam a conta ao mesmo tempo, e a vítima pode até não notar nada fora do comum em sua conta.

De acordo com Finjan, um processo de zona de URL sofisticada permite que criminosos pré-configurem a porcentagem a ser retirada da conta bancária da vítima; Dessa forma, a atividade não tropeça nos alertas de fraudes embutidos de uma instituição financeira. Em agosto passado, a Finjan documentou um roubo de US $ 17.500 por dia durante o período de 22 dias de vários bancos alemães, muitos dos quais não tinham idéia do que estava acontecendo.

Mas a URLzone vai além da maioria dos botnets bancários ou Cavalos de Tróia, diz a equipe antifraude da RSA. Criminosos que usam cavalos de Tróia bancários geralmente pegam o dinheiro e o transferem da conta da vítima para várias "mulas" - pessoas que aceitam um corte para si e transferem o resto do dinheiro para o exterior, geralmente na forma de mercadorias enviadas para endereços estrangeiros.

A URL também parece detectar quando está sendo assistida: quando os pesquisadores da RSA tentaram documentar como o URLzone funciona, o malware transferiu dinheiro para mulas falsas (muitas vezes partes legítimas), frustrando assim a investigação.

Silentbanker e Zeus O

Silentbanker, que surgiu há três anos, foi um dos primeiros programas de malware a implantar um site de phishing. Quando as vítimas visitaram o falso site bancário dos criminosos, o Silentbanker instalou malware em seus PCs sem acionar nenhum alarme. O Silentbanker também fez capturas de tela de contas bancárias, redirecionou usuários de sites legítimos e alterou páginas HTML.

O Zeus (também conhecido como Prg Banking Trojan e Zbot) é um botnet bancário que tem como alvo contas bancárias comerciais. De acordo com o fornecedor de segurança SecureWorks, o Zeus geralmente se concentra em um banco específico. Foi um dos primeiros cavalos de Tróia bancários a derrotar os processos de autenticação, esperando até que a vítima tivesse logado em uma conta com sucesso. Em seguida, ele personifica o banco e injeta discretamente uma solicitação de um número do Seguro Social ou outras informações pessoais.

O Zeus usa os métodos tradicionais de phishing de e-mail para infectar os PCs, quer a pessoa insira credenciais bancárias ou não. Um recente ataque relacionado ao Zeus foi enviado como um e-mail do IRS.

Ao contrário dos cavalos de tróia bancários anteriores, a infecção pelo Zeus é muito difícil de detectar porque cada vítima recebe uma versão ligeiramente diferente dele.

Clampi

Clampi, um botnet bancário semelhante a Zeus, permaneceu adormecido durante anos, mas recentemente se tornou bastante ativo. De acordo com Joe Stewart, diretor de pesquisa de malware da SecureWorks, a Clampi captura informações de nome de usuário e senha para cerca de 4500 sites financeiros. Transmite essas informações para seus servidores de comando e controle; criminosos podem usar os dados imediatamente para roubar fundos ou comprar mercadorias, ou guardá-los para uso posterior. O Washington Post coletou histórias de várias vítimas do botnet Clampi.

O Clampi invalida a autenticação do usuário esperando que a vítima faça o login em uma conta bancária. Em seguida, exibe uma tela informando que o servidor do banco está temporariamente inativo para manutenção. Quando a vítima se muda, os bandidos seqüestram sub-repticiamente a sessão bancária ainda ativa e transferem dinheiro para fora da conta

Defending Your Data

Já que a maioria dessas infecções por malware ocorre quando as vítimas respondem a um e-mail de phishing ou navegar para um site comprometido, Stewart, da SecureWorks, recomenda limitar suas atividades bancárias a uma máquina dedicada que você usa apenas para verificar seus saldos ou pagar contas.

Como alternativa, você pode usar um SO gratuito, como o Ubuntu Linux um CD ou um thumbdrive. Antes de fazer qualquer serviço bancário on-line, inicialize o Ubuntu e use o navegador Firefox incluído para acessar seu site bancário. A maioria dos cavalos de Tróia bancários é executada no Windows, portanto, temporariamente, o uso de um sistema operacional não-Windows os derrota, assim como o serviço bancário via celular.

A etapa principal, no entanto, é manter seu software antivírus atualizado; a maioria dos programas de segurança detectará os novos cavalos de Tróia bancários. Arquivos de assinatura de antivírus mais antigos podem ser lentos para defender os PCs contra os ataques mais recentes, mas as edições de 2010 têm proteção de assinatura baseada em nuvem para anular imediatamente as ameaças.