BlackMoon

Por GoldSparrow em Trojans

Cartão de pontuação de ameaças

Classificação: 7,732
Nível da Ameaça: 80 % (Alto)
Computadores infectados: 44
Visto pela Primeira Vez: July 22, 2016
Visto pela Última Vez: September 18, 2023
SO (s) Afetados: Windows

O BlackMoon é um Trojan bancário que infectou mais de 160.000 dispositivos na Coreia do Sul. Os analistas de segurança do PC suspeitam que os trapaceiros responsáveis pela última campanha do BlackMoon possam ser de origem chinesa. O BlackMoon pode ter sido responsável pelo roubo de mais de 100.000 credenciais bancárias. Essa ameaça também é detectada como Banbra ou W32/Banbra. Este ataque BlackMoon foi detectado pela primeira vez em abril de 2016, através da identificação de um diretório de acesso aberto que fazia parte de um servidor de Comando e Controle do BlackMoon. Este diretório continha informações pessoais sobre as vítimas do BlackMoon. Os resultados foram surpreendentes: 110.130 vítimas em todo o mundo, 108.850 na Coreia do Sul, foram detalhadas neste relatório. É provável que o número seja bem maior, pois é improvável que esse servidor de Comando e Controle seja o único.

A campanha BlackMoon não terminou em abril de 2016. Os analistas de segurança do PC continuaram a observar o comprometido servidor BlackMoon Command and Control para saber mais sobre como os ataques são realizados. Desde maio de 2016, o BlackMoon reivindicou um adicional 62.659 vítimas, 61.255 na Coréia do Sul, através desse servidor de comando e controle sozinho. O BlackMoon é projetado para direcionar os bancos sul-coreanos em particular. Os arquivos de configuração do BlackMoon mostram que ele pode ser adaptado para atingir 61 bancos sul-coreanos diferentes.

O Modus Operandi do BlackMoon e Suas Possíveis Origens

O BlackMoon foi observado pela primeira vez em 2014. Este Trojan bancário usa arquivos de configuração automática de proxy (PAC) para assumir o tráfego de Internet da vítima e procurar endereços que correspondam a uma lista de URLs de bancos em seus arquivos de configuração. Sempre que o BlackMoon detecta que a vítima vai visitar um site bancário, o BlackMoon redireciona a vítima para um site de phishing, em vez de levá-la à sua página bancária online real. A vítima, acreditando estar no site do seu banco, irá inserir sua senha e informações de login, essencialmente entregando seus dados pessoais no processo. É provável que os recentes ataques do BlackMoon tenham sido perpetrados por um grupo de trapaceiros na China. A designação dos arquivos do servidor de Comando e Controle e os comentários do código fonte foram escritos em chinês. Este ataque BlackMoon, em particular, está provando ser bastante extenso, visando dezenas de milhares de usuários de computador. É preciso dar atenção a essa campanha de ameaças contínuas contra os usuários sul-coreanos como forma de proteger os usuários finais e conscientizá-los dos possíveis riscos do uso de serviços bancários on-line sem as devidas garantias de segurança.

Detalhes sobre os Ataques Mais Recentes do BlackMoon

O ataque BlackMoon não é particularmente original, típico da maioria desses ataques bancários em cavalos de Tróia. No entanto, as estratégias de distribuição e entrega do BlackMoon continuam a evoluir, tornando-o especialmente ameaçador neste último ataque. O BlackMoon pode ser entregue como um arquivo executável baixado de um site infectado. Este executável extrairá uma DLL que é executada em segundo plano e monitora a atividade on-line da vítima. Às vezes, o BlackMoon pode ser reconhecido facilmente porque fará com que o computador afetado exiba mensagens pop-up enigmáticas. A mensagem (geralmente escrita em coreano) que aparece quando os usuários de computador tentam entrar em seu site bancário diz:

O 'Financial Supervisory Service está realizando um processo de autenticação você instalou o certificado de segurança para este PC?

※ O certificado deve verificar a segurança e a privacidade dos incidentes de vazamento de informações no leilão usando os serviços bancários pela internet Os hóspedes evitam fraudes financeiras, veja abaixo.

※ Você não pode acessar o Internet Banking com mais segurança para receber o processo de certificação de segurança.

※ Por favor, clique no nome do banco que você usa para prosseguir com os procedimentos de autenticação segura.

A avaliação desses links leva os usuários de computador a sites bancários falsos que contêm conteúdo falso que foi desviado de páginas legítimas de bancos on-line. Os usuários de computador podem proteger melhor suas máquinas instalando um programa de segurança confiável que esteja totalmente atualizado e ativando todas as proteções de segurança, como uma autenticação em duas etapas, em suas contas bancárias on-line.

Postagens Relacionadas

Tendendo

Mais visto

Carregando...