Trojans ameaçam banca online, desta vez pela mão do Trojan-banker.win32.bifitAgent

22 mai 2013
Notícias de Vírus

  • O uso de um token USB numa transacção não representa qualquer obstáculo para os cibercriminosos, já que o token assina a transacção depois de os dados terem sido falseados

  • Os cibercriminosos obtêm acesso a equipamentos integrados em redes zombi que usam sistemas bancários BIFIT e instalam o Trojan-banker.win32.bifitAgent

Os programas maliciosos que roubam dados confidenciais para entrar nos sistemas bancários online provocam dores de cabeça às organizações financeiras de todo mundo há já algum tempo. Desta vez, estamos a falar de um programa que modifica o montante e o destinatário das transacções legítimas de banca online sem o conhecimento da vítima.

Há um ano, a Kaspersky Lab descrevia a fórmula utilizada pelo primeiro programa malicioso desenhado para atacar os utilizadores de um software para banca online desenvolvido pela companhia BIFIT. Mas hoje continuam a existir vários programas maliciosos com a mesma funcionalidade, entre eles:

 

Trojan-Banker.Win32.iBank
Trojan-Banker.Win32.Oris
Trojan-Banker.Win32.BifiBank
Trojan-Banker.Win32.BifitAgent

Este último programa malicioso tem várias características técnicas que o distinguem dos seus semelhantes, já que executa dois módulos principais no equipamento capturado: um ficheiro executável e um ficheiro comprimido JAVA. Enquanto se instala, cria uma pasta para a qual são copiados os seguintes ficheiros:

  • AGENT.EXE v, o principal módulo executável responsável pelas comunicações com o servidor de comando. Este módulo é capaz de se auto-actualizar, gerir processos, executar comandos através de Cmd.exe, e descarregar e executar qualquer ficheiro, sempre obedecendo os comandos procedentes do servidor de comando.

  • ALL.POLICY v, um ficheiro de configuração JAVA que elimina qualquer restrição de segurança relacionada com JAVA.

  • BIFIT_A.CFG v, o ficheiro de configuração dos programas maliciosos que inclui o número de identificação dos sistemas infectados e os endereços dos servidores de comando.

  • BIFIT_AGENT.JAR v, um ficheiro comprimido JAVA que contém o código para interagir com os sistemas da BIFIT.

  • JAVASSIST.JAR v, um ficheiro comprimido JAVA que inclui as funções adicionais que requer BIFIT_AGENT.JAR.

O principal módulo executável, responsável pela comunicação com o servidor de comando, funciona de forma simultânea com os ficheiros maliciosos JAR. Isto permite aos cibercriminosos modificar de forma instantânea qualquer código que seja executado em JAVA, em particular enquanto se realizam as transacções bancárias.

O código de BIFIT_AGENT.JAR está altamente ocultado, dificultando ainda mais a análise dos ficheiros que interagem com estes sistemas. Não obstante, é possível reconstruir acções do programa malicioso já que este possui amplas capacidades relacionadas com o registo das suas próprias acções.

A análise da funcionalidade incluída no BIFIT_AGENT.JAR demonstra que a principal função dos ficheiros JAR é falsificar os dados utilizados nas transacções bancárias realizadas a partir dos equipamentos infectados. E tudo isto passa despercebido ao utilizador, já que os dados falsificados são os que são enviados para o banco, não os que são visualizados pelo utilizador. O uso de um token USB na transacção não representa qualquer obstáculo para os atacantes, já que a transacção só é assinada após a falsificação dos dados.
Uma das características particulares do Trojan-banker.win32.bifitAgent é que inclui uma assinatura digital
. Em Abril, a lista de programas maliciosos da Kaspersky Lab incluía cerca de 10 variantes do programa malicioso, todas com uma assinatura válida emitida por Accurate CNC.
Foram detectadas instalações do Trojan-banker.win32.bifitAgent em equipamentos que fazem parte de redes zombi criadas por programas maliciosos como TROJAN.WIN32.DNSChanger, Backdoor.win32.shiz, Virus.win32.sality, etc. Mas não foi detectada qualquer propagação através de exploits. Pela distribuição de infecções podemos deduzir que os cibercriminosos obtêm acesso a equipamentos pertencentes a redes zombi nos quais detectam sistemas bancários BIFIT e procedem à instalação do Trojan-banker.win32.bifitAgent.
Os utilizadores devem certificar-se de que só acedem pessoas de confiança ao seu computador e utilizar ou actualizar só aplicações de fontes seguras que garantam que não estão infectadas. Recomenda-se a utilização de programas de segurança actualizados, como soluções antivírus, firewall pessoais, produtos que protejam contra o acesso não autorizado, etc. Além disso, se o utilizador receber uma mensagem de erro quando estiver a ligar-se ao servidor do seu banco, deve contactar de imediato a sua entidade bancária, averiguar se os seus servidores estão a funcionar normalmente e comprovar quando foi realizada a última transacção.

 

© 1997 - 2014 Kaspersky Lab

Todos os direitos reservados.