Cibercriminoso aluga malware para golpes bancários

Com anúncios no YouTube, um cibercriminoso identificado como Ric cobra R$ 2 000 por dez dias de uso de um Cavalo de Troia. Esse é o nome dado a um tipo de programa malicioso também conhecido como Trojan, que dribla etapas de autenticação de segurança usadas pelos principais bancos no Brasil. A estratégia foi identificada em um estudo concluído no mês passado pela Trend Micro Brasil, empresa especializada na defesa de ameaças digitais e segurança. Até então inédito no país, o inusitado é a comercialização do malware como um serviço.

Na página do YouTube, o perfil descreve a atividade como “aluguel de Trojans bancários ou venda de código-fonte, mais de 9 bancos suportados, versão 2016″. Três vídeos analisados pela Trend Micro mostram diferentes aspectos do Trojan bancário. Juntos, eles têm quase 1 000 visualizações. Cada um contém um link que direciona para uma página com métodos de pagamento. De acordo com a Trend Micro, é provável que Ric trabalhe por conta própria e não faça parte de uma organização maior. Além disso, ele divulga o seu nome de usuário do Skype, plataforma de chamadas online, para que os clientes interessados possam negociar com ele.

Os maiores bancos do Brasil estão na lista de sites vulneráveis, bem como sistemas de pagamento online e um local de leilões. O pacote inteiro é alugado por R$ 2 000 por dez dias e inclui: um painel de controle para administrar as máquinas infectadas; o Trojan bancário em si; um software para instalar o programa malicioso nas máquinas infectadas; outra plataforma para atualização automática do malware; e toda a infraestrutura necessária para realizar golpes bem-sucedidos.

Para aqueles que desejam ter total controle de seus ataques e montar uma infraestrutura própria, o código-fonte estava sendo vendido por R$ 30 000.

O que o usuário pode fazer para evitar cair no golpe? Algumas dicas são: não clicar em mensagens e e-mails suspeitos, não acessar contas ou informações financeiras por computadores de terceiros, manter o antivírus atualizado e solicitar ao banco o envio de SMS, ou outra forma de monitoramento, para notificar transferências bancárias em tempo real.

Como o ataque funciona

Os bancos brasileiros protegem as contas com modelos de autenticação, seja por mensagens de texto ou por um aplicativo autenticador, os chamados token. De acordo com a Trend Micro, os hackers evitam essa autenticação por um acesso remoto que funciona da seguinte forma:

1. Uma vez que o Trojan foi instalado, o criminoso tem domínio remotamente sobre o computador da vítima;
2. Quando o site do banco for acessado, o atacante recebe uma notificação, que pode ser até um SMS;
3. Em seguida, ele observa a tela do computador da vítima até que ela faça o login em sua conta bancária;
4. A vítima tem sua tela bloqueada e uma mensagem faz com que ela acredite que o site do banco está lhe pedindo para esperar;
5. O atacante assume o controle e começa uma transferência de dinheiro ou realização de pagamento de contas;
6. A medida de segurança que o banco impõe é a autenticação com o token, um código válido por apenas alguns segundos e formado por números. Por isso, o banco pedirá que o criminoso insira a senha gerada para seguir em frente. Então, o atacante faz com que uma janela falsa apareça para a vítima, que acredita que precisa digitar o código para continuar, mas o número será entregue ao criminoso;
7. Com o token em mãos, o criminoso pode concluir o golpe.