sábado, 18 de novembro de 2017
Investigadores de segurança informática descobriram uma nova e sofisticada forma de malware baseada no notório trojan bancário Zeus que rouba mais do que apenas detalhes de contas bancárias.
Conhecido por Terdot, o trojan bancário existe desde meados de 2016 e inicialmente foi desenhado para operar como um proxy para conduzir ataques Man-in-the-Middle (MitM), roubar informações de navegação, tais como informações de cartões de crédito armazenados e credenciais de login e ainda injetar código HTML malicioso nas páginas web visitadas.
Contudo, investigadores da empresa de segurança informática Bitdefender descobriram que o trojan bancário agora foi renovado com novas capacidades de espionagem, como alavancar ferramentas open source para spoofing de certificados SSL por forma a obter acesso a redes sociais e contas de e-mail e até mesmo publicar em nome dos utilizadores infectados.
Terdot faz isso utilizando um MitN proxy altamente personalizado que permite ao malware interceptar qualquer tráfego num computador infectado.
Além disso, a nova variante do Terdot adicionou recursos de atualização automática que permitem que o malware faça download e execute arquivos conforme solicitado pelo operador.
Normalmente, Terdot visava sites de instituições bancárias do Canada, como o Royal Bank, Banque Nationale, PCFinancial, Desjardins, BMO (Banco de Montreal) e a Scotiabank, entre outros.
No entanto, de acordo com análises mais recentes, o Terdot pode visar redes sociais, incluindo Facebook, Twitter, Google Plus e YouTube, mas também serviços de e-mail, incluindo o Gmail, o Live, Hotmail, Outlook e o Yahoo Mail.
Curiosamente, o malware evita a recolha de dados relacionados à rede social maior da Rússia, VKontakte (vk.com), observou a Bitdefender. Isso sugere que quem poderá estar por trás desta nova variante do malware sejam atores da Europa Oriental.
O trojan está a ser distribuído principalmente por sites comprometidos através do SunDown Exploit Kit, mas também já foi observado a sua distribuição através de emails maliciosos que imitam um PDF.
Ao clicar no PDF, o trojan executa código JavaScript obfuscado que posteriormente faz o download e executa o arquivo de malware. A fim de evadir a detecção ele usa uma cadeia complexa de droppers, injeções e downloaders que permitem o download de Terdot aos pedaços.
Uma vez infectado, o trojan infiltra-se no processo do navegador para redirecionar as ligações através da sua própria web proxy, sniffar o tráfego e injetar spyware. Também pode roubar informações de autenticação inspecionando os pedidos da vítima ou injetando código spyware em Javascript nas respostas.
Terdot também pode ignorar as restrições impostas pelo TLS (Transport Layer Security) ao gerar a sua própria Autoridade de Certificação (CA) e gerar certificados para cada domínio que a vítima visita.
Todos os dados que as vítimas enviam para uma conta bancária ou redes sociais puderam ser interceptados e modificados pelo Terdot em tempo real, o que também pode permitir que ele se espalhe ao publicar links falsos em outras contas de redes sociais.
A Bitdefender tem vindo a acompanhar a nova variante do Terdot desde que este ressurgiu em outubro do ano passado.
Para mais detalhes sobre a nova ameaça, existe um documento técnico publicado pela Bitdefender.
