SolarSys
O SolarSys é uma nova ameaça de Trojan que está sendo implantada contra usuários localizados no Brasil. A região da América do Sul, especialmente o Brasil, tem registrado muito mais campanhas de ataque envolvendo cargas de Trojans bancários do que o resto do mundo, e o SolarSys realmente tem os recursos de um Trojan bancário. Como um todo, o SolarSys é composto de vários componentes prejudiciais, cada um com a tarefa de executar uma ação diferente no sistema comprometido.
O Trojan é entregue por meio de falsos instaladores MSI que fingem ser o Java ou o Microsoft HTML Help. Uma vez iniciado. No entanto, eles chamam InstallUtil, que é usado para executar um arquivo de biblioteca dinâmica .Net chamado 'uninstall.dll', que carrega a carga de backdoor do primeiro estágio. 'Uninstall.dll' executa o backdoor JavaScript na memória, configura o mecanismo de persistência registrando-se no AutoRun e executa o Install.js, um dropper responsável pela entrega das cargas úteis do segundo estágio.
O primeiro módulo é projetado para propagar outos Trojans bancários, obtendo listas de contatos do computador do usuário comprometido e enviando e-mails de phishing com anexos com malware. Os títulos dos e-mails são definidos para soar importantes ou urgentes para chamar a atenção dos alvos. Alguns usuários podem não suspeitar que algo errado está acontecendo porque o remetente dos e-mails é alguém que eles conhecem. Após a execução, os anexos começarão a descartar cargas corrompidas por meio de injeções de modelo.
O segundo módulo corrompido, uma parte do SolarSys, tentará coletar credenciais do navegador Google Chrome. Entre as informações obtidas pelo malware estão os dados de navegação do usuário, credenciais de login do site, etc.
O módulo final é o responsável por obter as informações bancárias do usuário. É entregue como um arquivo denominado 'BOM.bin.' O Trojan bancário começa a digitalizar os sites visitados pelo usuário comprometido em busca de uma correspondência da sua lista de bancos-alvo. Em seguida, ele gera uma sobreposição exibindo uma página de login falsa, onde a vítima é encorajada a inserir várias credenciais de login que são então exfiltradas para os invasores. Entre os bancos personificados pela SolarSys estão Banco Mercantil, Banco do Nordeste, CrediSIS, Banrisul, Safra, Banco do Brasil, Bradesco, Sicoob, Banco Itaú, Santander, Banco Inter, Banestes, Banpará e outras instituições bancárias brasileiras.
