Comercial (11) 2577-7899

hacker

Equipe da Varonis identifica ameaça que atingiu milhares de vítimas em todo mundo sob controle ativo

Nova campanha global de ataques cibernéticos está espalhando uma nova variante do malware bancário Qbot, cujo principal objetivo é roubar informações financeiras, incluindo credenciais bancárias. A descoberta é da equipe de especialistas do Varonis Security Research, time de pesquisas em segurança da informação da Varonis, que aponta que milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo de invasores.

Segundo a empresa, os ataques estão, atualmente, mirando empresas nos EUA, mas à medida em que chegam às redes mundiais de computadores, estão se espalhando rapidamente, com vítimas na Europa, na Ásia e na América do Sul.

O Qbot é um tipo já conhecido de malware sofisticado usado para roubar credenciais bancárias. A ameaça emprega técnicas de anti-análise, frequentemente desviando dos mecanismos de detecção e usando novos vetores de infecção para ficar à frente das soluções de segurança.

Como funciona o ataque

A variante, segundo a Varonis, mantém as características originais dos primeiros Qbots descobertos em 2009. Uma vez dentro da rede, começa a executar ataques de força bruta contra as contas dos usuários na rede, partindo do grupo de usuários do domínio do Active Directory. A ameaça então começa a rodar keyloggers, aplicativos que registram tudo que é digitado, aplicações que escaneiam e extraem processos do sistema em busca de sequências relacionadas a dados bancários e softwares para roubar credenciais.

Após a identificação, o time de especialistas da Varonis começou a analisar o ataque, revertendo a cepa do Qbot, que permitiu a identificação do servidor ativo de comando e controle usado pelo invasor, bem como a definição da escala do ataque. Com base na observação direta do servidor, a Varonis identificou que milhares de vítimas em todo o mundo estão comprometidas e sob controle ativo dos invasores.

Ao analisar a nova variante, os pesquisadores descobriram que o malware chega por meio de um arquivo .zip contendo um arquivo com a extensão “.doc.vbs”. Segundo os especialistas, isso indica que a primeira infecção provavelmente ocorreu por meio de um e-mail de phishing, que levou a vítima a clicar em um arquivo VBS (Visual Basic Script) malicioso.

Uma vez ativado, o Qbot busca programas de antivírus instalados no sistema e usa uma ferramenta para fazer o download do malware em si, fazendo as alterações necessárias para se diferenciar de Qbots anteriores para que não possam ser identificados pelos antivírus.

Caso não haja conexão com internet, o malware vai copiar a si mesmo em diferentes locais no sistema infectado e, se não puder enviar informações, vai armazená-las e criptografá-las dentro do próprio dispositivo.

Empresas precisam estar atentas

Ao analisar um dos servidores de comando e controle, o time da Varonis identificou 40 mil máquinas Windows conectadas, além de encontrar também arquivos de log contendo os IPs das vítimas, detalhes de sistemas em operação e nomes de produtos de antivírus. O servidor revelou também atividades passadas e versões adicionais de malwares. Quase todas as máquinas infectadas estavam rodando o Windows Defender, com base nos resultados do script VP que foram enviados de volta ao servidor.

Carlos Rodrigues, vice-presidente da Varonis para a América Latina, alerta que, mesmo que os ataques tenham origem externa, a maneira como o novo Qbot infecta os usuários merece atenção, especialmente quando falamos da importância do comportamento do usuário.

“Ataques desse tipo reforçam a importância de estar atento ao comportamento do usuário. Enganar um usuário para que ele clique em links suspeitos e roubar suas credenciais é algo relativamente fácil. Logo, as empresas não podem depender apenas da confiança de que seus colaboradores são capazes distinguir o que é seguro. Especialmente no caso das ameaças mais sofisticadas, mesmo um usuário com alto nível de conhecimento pode ser iludido em um momento de distração”, disse Rodrigues.

Fonte: https://computerworld.com.br/2019/02/28/nova-variante-de-malware-rouba-dados-bancarios-na-america-do-sul/

Compartilhar está publicação