Pesquisadores de segurança da Groub-IB, empresa de investigações de cibercrime russa, identificaram recentemente um novo malware projetado para roubar credenciais de login de software especializado usado para negociar ações e outros títulos online

O software pode ser usado para negociar. na Bolsa de Valores de Moscou (MICEX), na Bolsa de São Petersburgo, na Bolsa da Ucrânia e em outros ges. Também é usado por outras empresas de corretagem, como BrokerCreditService em Chipre, Otkritie no Reino Unido e Rússia, InstaForex, bem como por grandes bancos como Sberbank, Alfa-Bank e Promsvyazbank, Group-IB.

[Leia mais: Como remova o malware do seu PC Windows]

Uma vez instalado em um computador, o malware verifica a presença dos aplicativos de destino e começa a monitorar como o usuário interage com eles fazendo capturas de tela. Ele também rouba as credenciais de login e envia os dados para um servidor de comando e controle, disseram os pesquisadores do Grupo B.

Clientes devem ter proteção contra malware padrão instalada em seus computadores, como programas antivírus e firewalls, se usarem software financeiro, Vladimir Kurlyandchik, chefe de desenvolvimento de negócios da ARQA Technologies, disse quinta-feira via e-mail. "Esta é a nossa recomendação padrão."

Clientes que suspeitam que suas contas possam ter sido acessadas sem autorização devem mudar imediatamente suas chaves de acesso, disse ele.

Segundo Kurlyandchik, o software QUIK suporta vários mecanismos que podem impedir a conta sequestro. Isso inclui a capacidade de restringir o acesso apenas a determinados endereços IP (Internet Protocol), bem como autenticação em duas etapas via tokens SMS ou RSA SecureID.

Os clientes e corretores podem escolher a melhor opção adequada à sua situação, disse Kurlyandchik. As empresas de corretagem também podem usar algumas ferramentas para monitorar a atividade e bloquear o acesso a endereços IP suspeitos, disse ele.

No entanto, mesmo que esses recursos de segurança estejam disponíveis, isso não significa necessariamente que todos os estão usando. Há muitas maneiras de extrair fundos de contas de negociação on-line devido à fraca proteção antifraude no lado do servidor, disse Andrey Komarov, chefe de projetos internacionais do Grupo-IB.

Por exemplo, o FOCUS IVonline é normalmente usado por meio de um Canal criptografado VPN (Virtual Private Network) fornecido por um produto de segurança russo, mas isso não é suficiente e os hackers ainda podem facilmente abusar do software, disse Komarov. O malware pode usar ferramentas de acesso remoto como VNC ou RDP para permitir que invasores se conectem através do computador da vítima.

A maioria desses aplicativos comerciais especializados é bem projetada e tem boa segurança, mas eles são instalados em ambientes não confiáveis, por isso é difícil protegê-los, disse Komarov. A segurança do PC do cliente é o principal problema, disse ele.

Houve relatos anteriores de hackers comprometendo contas de corretagem on-line. Esses ataques usaram principalmente formas de captura e Web injecções como as vistas no malware bancário online, disse Komarov.

A segmentação de contas de negociação online faz parte de uma grande e crescente tendência de cibercriminosos, disse ele.