sexta-feira, 25 de maio de 2012

URLZone: automatizando o roubo de contas bancárias


Cibercriminosos brasileiros estão adicionando um estágio mais avançado aos seus ataques - ao invés de um grande montante de trojans bancários que somente capturam as credenciais do usuário ou o direcionam para páginas de phishing, eles estão agora roubando dinheiro das contas bancárias usando o próprio computador das vítimas, de maneira automatizada, copiando funções presentes em trojans bancários mais antigos ecomplexos, como o Zeus e o Carberp.

Ainda em 2009 foram encontradas algumas versões do trojan Zeus usando funções similares chamada URLZone onde, seguindo a infecção, uma transação não autorizada é feita a partir da máquina da vítima, ao invés de ser feita no computador do cibercriminoso. Para isso o trojan calculava automaticamente o saldo da vítima e quanto poderia roubar. O objetivo dos ladrões, ao usar essa técnica é evitar a detecção de sistemas anti-fraudes utilizados por alguns bancos. Nos dias de hoje outro trojan conhecido como Carberp possui funções semelhantes.

De fato alguns bancos brasileiros possuem a função chamada "cadastramento de computadores" no qual detalhes específicos sobre a máquina do cliente são registrados pelo banco, tais como o número de série do HD ou o MAC address. Se uma transação é gerada a partir de uma máquina ou IP diferente, a operação será cancelada ou considerada suspeita. Estes trojans brasileiros vão mais longe porque permitem que a máquina da vítima seja usada para gerar uma operação ilegal e assim levantar menos suspeita.

Desde meados do ano passado temos encontrados diversos trojans bancários brasileiros usando essa técnica, geralmente instalados em ataques de drive-by-download e se utilizando de BHOs no navegador infectado. Eles estão programados para pagar contas ou realizar transferências de grandes valores de dinheiro. Alguns trojans chegam a ter um módulo de "empréstimos", onde será realizado o cálculo do saldo da conta bancária da vítima. Essa técnica é conhecida entre os coders brasileiros como "automação".

Aqui um dos trojans tenta fazer uma TED (Transferência Eletrônica de Fundos) a partir do comptuador da vítima:


no valor de cinco  mil reais:



O mesmo trojan tenta também pagar algumas contas, como um GARE, uma taxa estadual do DETRAN de São Paulo:


E aqui outro trojan tenta realizar um empréstimo, primeiro verificando o saldo da conta e logo depois acessando a função de empréstimo:


Alguns novos trojans possuem comandos de realizar todas as operações bancárias possíveis via internet banking, de maneira automatizada. Basta a vítima estar logada na página de internet banking, o trojan ativo na máquina irá fazer as operações de roubo automaticamente, em segundo-plano.


Com o aumento desse número de trojans nos últimos meses, alguns bancos no Brasil começaram a exigir a digitação deCAPTCHAS para validar algumas operações, numa tentativa de bloquear essas transações automatizadas feitas pelos trojans. Logo após a adoção dessas medidas, encontramos alguns trojans com as funções de quebrar os CAPTCHAS:



Em alguns fóruns de cibercriminosos, alguns deles iniciaram a venda de kits específicos para a quebra dos CAPTCHAS usados pelos bancos.




Esta é uma evolução natural dos trojans bancários brasileiros, numa tentativa de manter os roubos de contas bancárias pela internet, e assim continuar o jogo de gato e rato entre bancos e ladrões.







Pesquisar neste blog