Metamorfo Banking Trojan
Os pesquisadores de segurança do PC observaram uma ameaça, o Metamorfo Banking Trojan, em maio de 2018. O ataque do Metamorfo Banking Trojan tem como alvo principal os usuários de computador localizados no Brasil. O Metamorfo Banking Trojan é entregue como um anexo de arquivo HTML corrompido, contido em e-mails de phishing, projetados para enganar os usuários de computador, fazendo-os acreditar que receberam uma notificação de transferência eletrônica de seus bancos. Quando o HTML aberto, o Metamorfo Banking Trojan é baixado no Dropbox, no Google Drive ou no GitHub e instalado no computador infectado. O payload do Metamorfo Banking Trojan está contido em um arquivo ZIP que contém um arquivo executável que instala o Metamorfo Banking Trojan quando o arquivo ZIP é aberto.
Índice
Como Funciona o Ataque do Metamorfo Banking Trojan
O Metamorfo Banking Trojan fará a varredura do histórico do navegador do computador afetado em busca de bancos brasileiros e transações com dinheiro online. O Metamorfo Banking Trojan é iniciado automaticamente quando o computador afetado é iniciado e sempre que a vítima visita sites conectados a essas instituições financeiras. O Metamorfo Banking Trojan fará capturas de tela e tentará registrar as teclas digitadas e os cliques do mouse para obter as senhas da vítima. O Metamorfo Banking Trojan também interferirá no computador afetado, impedindo que a vítima execute os seguintes processos:
msconfig.exe; TASKMGR.exe; regedit.exe; ccleaner64.exe; taskmgr.exe; Itauaplicativo.exe
Uma vez instalado, o Metamorfo Banking Trojan se conectará a servidores de Comando e Controle para receber comandos e retransmitir informações sobre o computador infectado. O Metamorfo Banking Trojan se comunica com esses servidores através dos seguintes endereços de IP (e novos provavelmente estarão sendo adicionados constantemente à medida em que os anteriores são detectados e removidos):
80[.]211.140[.]235
87[.]98.146[.]34
212[.]237.46[.]6
185[.]43.209[.]182
O Metamorfo Banking Trojan tem várias variantes, todas tendo em comum a arquitetura básica do ataque e os tipos de alvos usados nesses ataques. Os métodos de distribuição podem variar, mas está claro que o Metamorfo Banking Trojan faz parte de uma campanha coordenada de malware destinada aos usuários de computador localizados no Brasil. A lista de instituições bancárias associadas ao ataque do Metamorfo Banking Trojan é bastante extensa e está codificada no próprio Metamorfo Banking Trojan.
Variantes do Ataque do Metamorfo Banking Troja
Além de uma variante do Metamorfo Banking Trojan que monitora as atividades da vítima para coletar informações de login para serviços bancários on-line, algumas variantes do Metamorfo Banking Trojan foram observadas com base em uma abordagem diferente. Essas versões do Metamorfo Banking Trojan, assim como suas outras variantes, ainda monitoram as atividades on-line da vítima, esperando que a vítima visite um site bancário brasileiro. No entanto, neste caso, quando a vítima visita um desses sites, o Metamorfo Banking Trojan exibe uma versão falsa do site no navegador da vítima, enganando as vítimas para que elas insiram as suas credenciais de login no site falso. Essa informação é então encaminhada para os servidores de Comando e Controle do Metamorfo Banking Trojan. Um aspecto dos ataques do Metamorfo Banking Trojan que dificulta aos pesquisadores de segurança do PC a lidarem com as diferentes variantes do Metamorfo Banking Trojan é o fato de que há vários estágios envolvidos no ataque, iniciados por meio de anexos de e-mail corrompidos e resultando na instalação de malware no computador da vítima, os quais se comunicam com os seus servidores de Comando e Controle. Para instalar o Trojan Banking Metamorfo, a vítima pode ser exposta a um arquivo HTML inicial comprometido, um arquivo com um JavaScript incorporado ou outros métodos típicos de distribuição de malware. Isso faz com que os ataques como o Metamorfo Banking Trojan sejam flexíveis em sua abordagem e difíceis de se lidar.
Protegendo a Sua Conta Bancária contra o Metamorfo Banking Trojan
A menos que você monitore o seu computador constantemente, é difícil notar a presença do Metamorfo Banking Trojan. Por causa disso, um programa de segurança forte e totalmente atualizado deve ser usado para monitorar as suas atividades em tempo real. Aprender a reconhecer e combater as táticas de e-mail também é essencial na prevenção de ataques como o do Metamorfo Banking Trojan.
