NovaLoader
O NovaLoader faz parte de uma campanha de malware destinada aos usuários de computador no Brasil, para realizar ataques bancários com Trojans. O principal objetivo dos ataques envolvendo o NovaLoader foi coletar as informações bancárias dos usuários de computador localizados no Brasil. NovaLoader é uma ameaça de malware escrita em Delphi que usa a linguagem VBS no seu ataque. O NovaLoader faz parte de um ataque que possui múltiplos estágios e é capaz de detectar ambientes virtuais e de sandbox. O objetivo principal do NovaLoader é coletar informações bancárias no computador da vítima, usando essas informações para comprometer as contas da vítima e permitir que os criminosos realizem várias outras táticas.
Índice
Por Que o NovaLoader Ataca um Computador?
Existem vários métodos de entrega associados ao NovaLoader e a táticas similares. Algumas delas incluem o uso de anexos de e-mail de spam, sites falsos e downloads de software e métodos de engenharia social para induzir os usuários de computador a baixar e instalar o NovaLoader no computador de destino. Os criminosos associados ao NovaLoader abusarão de serviços de hospedagem de arquivos e códigos populares e legítimos para hospedar arquivos corrompidos e enganar os usuários de computador para que instalem o NovaLoader. A infecção NovaLoader tem vários estágios que envolvem a confirmação das configurações no computador da vítima e, em seguida, o download de vários estágios da carga útil do NovaLoader, que são descriptografados e instalados. O ataque NovaLoader é ofuscado, tornando difícil para os pesquisadores de segurança do PC reagirem apropriadamente.
Como o NovaLoader Usa os Seus Recursos
O objetivo principal do ataque do NovaLoader é coletar as credenciais de login para vários bancos no Brasil. O NovaLoader monitorará a janela do navegador da Web e detectará quando a vítima se conectar a um banco on-line. Quando a vítima se conecta a um desses sites, o NovaLoader irá ativar e impedir que a vítima se conecte à página do banco real. Em vez disso, o NovaLoader se comunicará com o seu servidor de Comando e Controle e usará diversas táticas para coletar as informações da vítima. A seguir estão os comandos que os pesquisadores de segurança do PC associaram ao NovaLoader:
<|SocketMain|>
Estabiliza a conexão do soquete
<|Info|>
Envia detalhes do SO infectado
<|PING|>
Verifica o status da conexão
<|Close|>
Fecha todas as conexões
<|REQUESTKEYBOARD|>
Envia pressionamentos de tecla para a janela do aplicativo ativo
<|MousePos|>
Define a posição do mouse
<|MouseLD|>
Define o botão esquerdo do mouse
<|MouseLU|>
Faz o botão esquerdo funcionar
<|MouseRD|>
Faz o botão direito funcionar
<|MouseRU|>
Define o botão direito do mouse
<|Desktop|>
Compartilha a área de trabalho do sistema comprometida
<|gets|>
Confere a resposta do C&C para verificar se os dados estão corretos e prespinde com<|okok|>
Há uma grande variedade de bancos brasileiros e seus sites que são alvo do ataque do NovaLoader. Segue-se uma lista de bancos alvos associados ao NovaLoader, bem como os seus sites brasileiros, que podem ser falsificados pelo ataque do NovaLoader para enganar a vítima e faze-la revelar informações de login e senhas:
Caixa Economica Federal
http://www.caixa.gov.br
Banco do Brasil
https://www2.bancobrasil.com.br
Bradesco
https://banco.bradesco/
Santander
https://www.santander.com.br/
Banco da Amazonia
https://www.bancoamazonia.com.br/
brbbanknet
https://brbbanknet.brb.com.br/netbanking/
Banese
https://www.banese.com.br/
Banestes
https://www.banestes.com.br/
Banco do Estado do Pará
https://www.banpara.b.br/
Banco bs2
https://www.bs2.com/
Citi Bank Brasil
https://www.citibank.com.br
Banco Fibra Online
Agibank
https://www.agibank.com.br/
Banco Guanabara
http://www.bancoguanabara.com.br/
Banco Indusval
https://www.bip.b.br/ir
Internet Banking Bancointer
https://internetbanking.bancointer.com.br/
Modal Banking
https://modalbanking.modal.com.br/
bancopan
https://www.bancopan.com.br/
pineonline
https://www.pine.com/
Protegendo a Sua Conta Bancária contra Ameaças como o NovaLoader
Os usuários de computador localizados no Brasil parecem ser os principais alvos dos Trojans bancários. O NovaLoader é apenas uma das várias campanhas bancárias de Trojan observadas no Brasil em abril de 2019. Por isso, os usuários de computador do Brasil são fortemente aconselhados a tomar precauções contra ameaças como NovaLoader ao realizar qualquer operação bancária on-line. A seguir estão algumas medidas que os usuários de computador podem tomar para garantir que estejam protegidos contra ameaças como o NovaLoader:
- Usar senhas fortes e a autenticação de dois fatores para garantir que as suas contas estejam protegidas.
- Um programa de segurança confiável que esteja totalmente atualizado deve ser usado em todos os momentos e digitalizaçōes regulares devem ser executadas.
- Monitorar as suas contas bancárias para detectar atividades suspeitas.