Hackers se unem para espalhar Trojans bancários em todo o mundo

Os Trojans bancários são populares em esquemas de cibercriminosos, dados os valiosos e credenciais de serviços financeiros que podem ser roubados em ataques cibernéticos com sucesso.

Os bancos se veem como um alvo constante para ataques implacáveis ​​contra seus aplicativos e infraestrutura. Seus nomes também são abusados ​​por agentes de ameaças que os utilizam em campanhas de phishing e por meio de domínios maliciosos de copycat projetados para enganar os clientes e entregar suas credenciais de conta.

Trojans bancários são considerados uma das principais ameaças à empresa hoje. Somente em 2018, a Kaspersky Lab registrou aproximadamente 900.000 ataques financeiros baseados em malware contra usuários em 2018 – um aumento de 16% em comparação com 767.000 ataques em 2017.

Os nomes desse malware podem ser familiares. Zeus , Redaman , BackSwap , Emotet , Gozi e Ramnit são apenas algumas das famílias de Troia que ganharam destaque no mundo cibercriminoso, no entanto, os operadores de campanhas que usam Trojans bancários estão constantemente bajulando espaço e território.

Pelo menos, isso costumava ser o caso. De acordo com o consultor global de segurança da IBM, Limor Kessem, e com a equipe de segurança cibernética da IBM X-Force, as principais operadoras de malware bancários estão trabalhando juntas para distribuir seu malware.

Na quarta-feira, a Kessem revelou novas pesquisas sobre a tendência cooperativa, que se baseia nas tendências financeiras de malware discutidas no mais recente Índice de Inteligência da IBM X-Force.

Trickbot, Gozi, Ramnit e IcedID foram os Trojans bancários mais ativos em 2018, e enquanto outras formas de malware têm crescido em popularidade, são as formas mais ativas – e predominantes – de malware financeiro que agora estão sendo disseminadas através de criminosos cibernéticos.

tela-2019-03-20-at-08-33-25.png

Os pesquisadores de cibersegurança dizem que a lista é “povoada por gangues de cibercrime organizadas que têm ligações com outras gangues de cibercrime, cada uma fazendo sua parte para alimentar a cadeia de suprimentos perpétua de uma economia digital do crime financeiro”.

“A arena de cavalos de Troia bancária é dominada por grupos da mesma parte do mundo e por pessoas que se conhecem e colaboram para continuar orquestrando fraudes eletrônicas em grande volume”, acrescentou Kessem.

Trickbot é um dos principais intervenientes no espaço financeiro de Troia. Os criminosos cibernéticos russos por trás do malware, que têm como alvo bancos e empresas de patrimônio que gerenciam contas de alto valor, se diversificaram recentemente em ransomware como parte de uma estratégia mais ampla de botnets e agora estão trabalhando com membros de gangues do IcedID.

Descoberto pela primeira vez em 2017, o IcedID usa ataques de injeção na Web para comprometer portais de pagamento on-line e também se dedica ao método típico de isca-e-troca para redirecionar clientes bancários para domínios mal-intencionados.

Embora esse malware não seja particularmente memorável como um Trojan bancário, uma mudança recente em sua implantação é. O IcedID quecostumava ser descartado pelo Emotet Trojan , mas isso mudou para o TrickBot em maio de 2018.

Três meses depois, ficou claro que o IcedID também havia recebido várias atualizações para se comportar mais como o TrickBot, incluindo a redução do tamanho do arquivo binário e dos plugins sendo buscados e carregados sob demanda, em vez de ser uma parte intrínseca do Trojan.

“Embora os autores de malware às vezes copiem um do outro, nossa pesquisa indica que essas modificações não foram uma coincidência”, diz a IBM. “Mesmo que apenas olhemos para o fato de que o TrickBot e o IcedID buscam um ao outro em dispositivos infectados, isso seria indicação suficiente de que esses cavalos de Troia são operados por equipes que trabalham juntas”.

A IBM também especula que uma parceria vaga entre os dois grupos pode ter começado anos atrás e, potencialmente, durante os anos em que as amostras de malware Dyre e Neverquest estavam fazendo as rondas antes de 2015. Trickbot é considerado o protegido de Dyre , enquanto Neverquest desapareceu após a prisão de um membro do grupo por trás dele. IcedID entrou em cena logo depois.

Gozi também é outro ator importante no setor de malware bancário e está ativo há mais de uma década. Visto pela primeira vez em 2007, o Gozi está em constante evolução e o vazamento de seu código fonte em 2010 deu origem a vários cavalos de Troia que estão ativos hoje.

O malware agora está em duas formas principais, v.2 e v.3, das quais a variante anterior tem como alvo players globais e a segunda se concentra em bancos na Austrália e na Nova Zelândia por meio de anexos maliciosos com base em macros enviados por meio de campanhas de phishing.

Em alguns países, como o Japão, os operadores do Gozi estão colaborando com o URLZone. Essa forma de malware é especializada em processos vazios e se disfarça como processos de computação legítimos para se esconder sem ser detectado na máquina da vítima.

Em uma campanha de 2018, a URLZone derrubou tanto o botnet Cutwail quanto o Gozi, que juntos são capazes de escravizar dispositivos, criar backdoors persistentes e roubar dados.

Os operadores do Ramnit também parecem encontrar valor na colaboração. Ativa desde 2010, o Ramnit começou a usar técnicas semelhantes a worms para infectar PCs, redes e drives removíveis antes de evoluir para um Trojan bancário modular, que agora se espalha através de garotos exploradores, incluindo Angler e RIG.

Ramnit tende a se concentrar em vítimas no Reino Unido, Canadá e Japão e, em 2018, reapareceu depois que um botnet da lei foi derrubado por um novo parceiro: Ngioweb, um servidor proxy multifuncional que usa múltiplas camadas de criptografia.

Uma campanha de 2018 entre o par conseguiu infectar aproximadamente 100.000 dispositivos em apenas dois meses. Durante o esquema, Ramnit voltou às suas raízes parecidas com minhocas e agiu como uma plataforma de infecção de primeiro estágio para criar um botnet proxy para a Ngioweb.

A IBM acredita que essa parceria – embora de curta duração – foi projetada na esperança de criar um botnet de tamanho comparável ao antigo botnet Gameover Zeus .

“Enquanto os anos anteriores viram as gangues operando como adversários, ocupando territórios diferentes ou até mesmo atacando o malware uns dos outros, 2018 conecta as principais gangues do cibercrime em colaboração explícita”, diz a IBM. “Essa tendência é um sinal negativo para a união de forças entre os operadores de botnets, revelando o fator de resiliência nessas operações nefastas ao longo do tempo.”

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !