A S21sec, empresa do Grupo Sonae, descobriu uma nova família de malware, que tem como objetivo transferir dinheiro de forma fraudulenta, da conta de uma vítima para outras contas
Este malware bancário tem por base o código “URLZONE”, já conhecido desde 2009.
De acordo com a S21sec, os ataques estão a ser direcionados sobretudo a clientes de entidades espanholas, embora, tendo em conta os padrões de evolução verificados em ataques de malware deste género, outras empresas por todo o mundo poderão vir a ser afetadas.
A forma corrente da realização estes ataques é o envio de um e-mail acompanhado por um anexo com a extensão “.pdf.exe” comprimido num documento denominado “factura-xxxx.pdf.zip”.
Uma das características deste tipo de malware prende-se com a utilização da tecnologia DGA (Domain Generation Algorithm), que consiste em gerar periodicamente uma grande quantidade de domínios aleatórios para dificultar o encerramento da botnet. Devido ao DGA, o botmaster é capaz de prever os domínios que se tentam conectar, permitindo antecipar-se e registar por si mesmo um deles e deste modo ativar a comunicação com a máquina infetada e com o servidor.
A S21sec confirmou que este malware parece afetar entidades financeiras muito à semelhança do que acontece com outras botnets de famílias de malware específicas, como a Tinba, Kins, Pykbot e a Xswkit, ou seja, isto significa que todas elas poderão estar a ser geridas pela mesma rede cibercriminosa, a utilizar os mesmos processos de disseminação e a recorrer ao ATS.
Quando o processo de infeção se encontra concluído, é efetuada uma injeção de código HTML em tempo real para enganar o utilizador infetado com engenharia social: a vítima recebe um pedido supostamente do seu banco para efetuar a devolução de um valor que foi depositado na sua conta por engano. Sem que seja modificada a página web da entidade bancária, aparece na realidade ao cliente um saldo superior ao que era suposto, levando-o a realizar, efetivamente, uma transferência fraudulenta para uma outra conta bancária através do sistema ATS.
“Na S21sec estamos compremetidos com a investigação deste tipo de ameaças, e queremos garantir as melhores soluções aos nossos clientes. E por isso queremos alertar sobre o funcionamento deste novo malware, que já está a ter uma repercussão muito forte em Espanha”, indica Xabier Michelena, CEO da S21sec,
A S21sec aconselha os utilizadores/clientes que contactem de imediato a sua entidade bancária caso lhes seja solicitada a realização de alguma devolução ou retificação bancárias.