Brasil: terceiro país maior alvo de malware bancário

malwareO Brasil segue na mira de cibercriminosos e o País é o terceiro maior alvo de malwares financeiros em todo o mundo, segundo relatório da Kaspersky Lab. A Turquia foi o país mais atacado no período, em que 3,45% de usuários Kaspersky Lab enfrentaram ameaças financeiras on-line, seguido por Rússia (2,9%) e Brasil (2,6%), que, por conta dos Jogos Olímpicos, pode subir na lista de ataques no 3º trimestre. O documento indica ainda que o segundo trimestre de 2016 registrou alta de 15,6% nos ataques financeiros.

No período analisado, produtos da empresa de segurança bloquearam 1.132.031 ofensivas do crime nesse segmento, sendo que a parceria entre dois importantes cavalos de Troia bancários – Gozi Trojan e Nymaim Trojan – foi identificada como protagonista desse crescimento, colocando ambos na lista dos dez principais malware financeiros.

Cavalos de Troia bancários ainda são considerados os maiores perigos on-line e, frequentemente, têm sua propagação feita por meio de websites comprometidos ou fraudulentos, bem como por e-mails de spam. Depois de infectar o dispositivo, o malware cria cópias de páginas oficiais de bancos, na tentativa de roubar informações pessoais da vítima, como informações da conta, senhas ou dados de cartões de pagamento.

Desenvolvido inicialmente como ransomware, o Nymaim criptografa dados valiosos das vítimas, exigindo pagamento de resgate em troca do desbloqueio. No entanto, sua versão mais recente inclui funcionalidade que provém do código fonte do cavalo de Troia bancário Gozi, permitindo, agora, que criminosos tenham acesso remoto aos computadores das vítimas.

Além disso, é possível que a parceria também tenha trabalhado na distribuição desses malware, colocando os golpes entre os top dez ataques financeiros, com Nymaim na 6ª colocação, identificado por 1,9% de usuários do software de segurança. Gozi assumiu a vice-liderança com 3,8% de detecção, atrás somente do Zbot, que mantém o primeiro lugar com 15,17% de vítimas.

Fonte: ITForum 365

Cavalo de troia bancário tem foco em ataque a brasileiros

malware_alertNos últimos três meses, a Unit 42, unidade de pesquisas de ciberameaças da Palo Alto Networks, tem acompanhando a evolução de um Trojan (cavalo de Tróia) bancário que está fazendo vítimas no Brasil e nos Estados Unidos.

Conhecido como Escelar, o malware apareceu em janeiro deste ano e, desde então, já computa cerca de 100 mil casos de tentativas de infecções. A Unit 42 reuniu mais de 600 variantes do malware até o momento.

Segundo a Palo Alto, o uso do malware é planejado de forma sofisticada e os cibercriminosos por trás dos ataques usam estratégias para espalhar o malware usando e-mails de phishing em português mirando atualmente clientes de sete bancos brasileiros: Banco do Brasil, Bradesco, Caixa, HSBC, Itau, Santander e Sicredi. Um número muito grande de e-mails foi aberto em janeiro de 2015 e mais continuam chegando desde então, com intervalos um pouco mais lentos.

O malware oferece ao agente vários recursos, incluindo a habilidade de colher credenciais de e-mail e manipular sessões de transações bancárias. Além disso, devido à forma como é arquitetado, ele pode facilmente se atualizar sozinho, suportado pela infraestrutura. A descoberta mais recente dos pesquisadores refere-se a um um servidor Microsoft SQL que, utilizado como base de ataque do Escelar, continha registros de 1660 infecções, todas ativadas em um período de dois dias.

Ataque sofisticado

O Escelar é capaz de controlar transações bancárias realizadas no Internet Explorer e coletar credenciais de e-mail que, por sua vez, são utilizadas para espalhar ainda mais o malware. Esses e-mails são frequentemente rotulados com data atual e contém uma mensagem genérica para convencer o usuário a executar o anexo.

Um aspecto agressivo do malware é que, por funcionar apenas via Internet Explorer, se a vítima tentar abrir um dos sites bancários alvejados em um navegador diferente do Internet Explorer, o malware vai gerar um erro falso, fechar o navegador atual e voltar a abrir o link no Internet Explorer.

Se ativado por um usuário incauto, o Escelar passa por três fases de ativação, sendo que a última é a instalação definitiva do malware no computador. A partir daí, o Escelar monitora a atividade web da vítima e, quando ela tenta acessar o site de um banco brasileiro, entra em ação.

O agente malicioso pode enviar um número de diferentes comandos que permitem manipular a sessão no site do banco da vítima e realizar transações fraudulentas, entre outras funções. Eles também permitem que os agentes maliciosos consigam as chaves de autenticação do usuário apresentando uma imagem falsa na tela.

Usuários no Brasil e nos Estados Unidos que utilizam serviços bancários brasileiros devem estar cientes desta ameaça, tomar as precauções necessárias contra ela e garantir que e-mails suspeitos não sejam abertos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte; IDG Now!

Bug em plugin bancário afeta navegação na Internet

seguranca_internet_bankingEm testes conduzidos por engenheiros do NIC.br, depois de relatos feitos em fóruns de discussões técnicas, motivaram a equipe do IPv6.br a testar a solução warsaw versão 1.5.1, produzido pela empresa GAS Tecnologia, utilizada por algumas instituições bancárias para o acesso ao Internet Banking em computadores Windows, e problemas sérios foram confirmados: toda a navegação em sites que tenham IPv6 ativado é simplesmente bloqueada, isso afeta Youtube, Google, Facebook, Yahoo, Linkedin, Terra, UOL, Globo.com, os sites do NIC.br, e muitos outros.

Não é apenas a navegação usando IPv6 que é afetada. Todo o acesso a esses serviços, mesmo com IPv4 também disponível, é bloqueado pelo bug no software dos bancos.O relato sobre o bug foi publicado na noite desta quinta-feira, 09/04, no Fórum IPv6.br, do NIC.br.

Os especialistas destacam que a GAS Tecnologia, uma empresa do grupo Diebold, em seu site, descreve o Warsaw, “como uma solução que tem como premissa prover confiabilidade em transações eletrônicas. Este software é distribuído por instituições financeiras, governamentais e privadas, por intermédio da instalação ou atualização dos módulos de proteção instalados em seu computador.”

O warsaw pode ser instalado automaticamente, como atualização de versões mais antigas da tecnologia de proteção, baseadas em plugins de navegadores, ou pode ser instalado manualmente pelo usuário, por meio de um instalador disponível na página do banco. No Windows, ele funciona como um serviço.
Ou seja, não se trata mais de um plugin com atuação restrita ao navegador Web, mas de um software que atua diretamente no sistema operacional. O software é iniciado automaticamente junto com o sistema, e em nossos testes não encontramos uma opção para sua desinstalação.Para identificar se o software está instalado em seu sistema, pressione as teclas [CTRL]+[SHIFT]+[ESC] para abrir o gerenciador de tarefas, clique na aba ‘Processos’, e verifique se há um processo chamado “GAS Tecnologia – CORE” rodando. Um outro componente da mesma solução de segurança é o “G-buster Browser Defense – Service”.

Segundo os testes realizados pela equipe do IPv6.br, feitos com um computador rodando Windows 8.1, 64 bits, em uma rede com conectividade nativa IPv6 e IPv4, quando a solução de segurança dos bancos estava instalada não era possível navegar em nenhum site que tivesse IPv6 ativo. Também foram feitos testes com o firewall do Windows ativado e desativado, com várias configurações diferentes de rede, com o Windows Defender instalado, e também sem anti-vírus. Em todos os testes o problema persistiu.
O problema, atestam os especialistas, se manifestou no Internet Explorer, no Chrome, no Firefox, e inclusive em tentativas de se acessar os serviços Web ‘manualmente’ por meio de um terminal usando o comando ‘telnet’ direcionado para a porta 80. Verificamos que o acesso a outros serviços, como o próprio ‘telnet’, usado no acesso administrativo a roteadores, também é prejudicado.

O problema, adverte o IPv6.br, não se manifestou apenas nas seguintes situações:quando não havia IPv6 na rede (ou seja, não afeta redes que sejam apenas IPv4);

Quando o IPv6 era obtido por túnel (testamos HE e 6to4) terminado no próprio host e quando o IPv6 era desabilitado no Windows (o que não é recomendado pela Microsoft, pois pode causar o mal funcionamento do sistema).

Os especialistas recomendam ainda que caso seu computador seja afetado pelo bug, é recomendado entrar em contato com o suporte técnico de seu banco e solicitar orientações sobre como proceder para corrigir a situação. Na Internet é possível encontrar tutoriais que mostram como desinstalar o software e impedir sua reinstalação automática, o que parece ser um processo bastante trabalhoso e que exige alguns ‘truques’. Mas se optar por fazer isso, é recomendado que não se use o Internet Banking sem antes obter uma orientação do suporte técnico do banco. A equipe do NIC.br não testou os procedimentos de desinstalação.

Foram feitos testes com as soluções de segurança disponíveis nos sites do Banco do Brasil e Banco Mercantil. Contudo, segundo o site g-lock.com.br, também da GAS Tecnologia, a mesma tecnologia é usada pela Caixa Econômica Federal, Itaú, Santander e Banco da Amazônia. Segundo relato, publicado no NIC.br, a questão é bastante séria, visto que vários provedores de acesso à Internet estão em pleno processo de ativação do IPv6 para seus clientes domésticos.

Um usuário leigo afetado pode ter muita dificuldade em identificar a causa dos problemas, atribuindo-os primeiramente ao provedor de acesso, a uma contaminação do computador por um vírus ou outro malware, ou à própria ativação do IPv6 em sua conexão. Nos fóruns técnicos já há relatos de empresas e instituições acadêmicas afetadas pelo problema. O NIC.br destaca ainda que informou o resultado dos testes para a GAS Tecnologia e para os bancos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital