O Trojan Bancário BlackMoon Compromete Mais de 100 Mil Clientes Bancários da Coréia do Sul
Um Trojan bancário relativamente novo, chamado BlackMoon, está em cena para ultrapassar as credenciais de login da conta bancária online. A BlackMoon foi identificada pela empresa de segurança Fortinet, chamando-a de W32/Banra. Através de suas pesquisas, eles descobriram que a BlackMoon tem uma campanha que consiste em seus servidores de comando e controle e vários computadores comprometidos que formam um botnet para ultrapassar as credenciais bancárias sul-coreanas. Até agora, a BlackMoon é suspeita de comprometer mais de 100.000 credenciais de contas bancárias sul-coreanas.
BlackMoon foi identificado pela primeira vez executando uma campanha de esquemas em 2014. Só este ano, durante abril de 2016, pouco mais de 60.000 vítimas foram atacadas para descobrir seus dados bancários. A maioria das vítimas estava localizada na Coréia do Sul, tornando a BlackMoon uma ameaça que visava especificamente naquela região.
Os autores do BlackMoon usam arquivos de configuração que visam explicitamente cerca de 61 instituições financeiras sul-coreanas. Com isso em mente, parece que os atacantes da BlackMoon estão concentrados em bancos de segmentação localizados apenas na Coreia do Sul, onde o cavalo de Tróia detecta o tráfego de Internet dos alvos na região para identificar o próximo ataque. Os usuários de computador visados pela BlackMoon são geralmente redirecionados para um site de phishing que parece ser uma página bancária onde as credenciais de login são roubadas. Esse método comum é usado há muito tempo para obter logins bancários ou outras credenciais de contas online.
Os pesquisadores da Fortinet suspeitam que uma gangue cibernética chinesa administre a BlackMoon e sua campanha de roubo de credenciais bancárias. Ao chegar a essa conclusão, a Fortinet pôde examinar o servidor de comando e controle (C&C) exposto com o qual a BlackMoon se comunica e recebe suas instruções. Entre os milhares de endereços IP de vítimas e pouco mais de 2.700 amostras de BlackMoon encontradas, os pesquisadores concluíram que havia 314 servidores C & C hospedados em 26 empresas de hospedagem diferentes. Entre as empresas de hospedagem, elas foram encontradas nos EUA, na China e em Hong Kong. Outras pistas reveladoras sobre os perpetradores por trás do BlackMoon ser uma gangue cibernética chinesa é que dentro de seu código há vários comentários feitos no idioma chinês.
Atualmente, a BlackMoon está aumentando constantemente seu número de vítimas. Colher uma infinidade de credenciais bancárias através do portal do seu site de phishing permitiu à BlackMoon coletar uma boa quantidade de informações sobre seus alvos. Através da verificação de algumas vítimas, a Fortinet foi capaz de saber com certeza que até o momento a BlackMoon conseguiu infectar dezenas de milhares de usuários com sucesso, no mínimo. No entanto, o número exato não é conhecido, já que todas as 100.000 vítimas não podem ser identificadas através do número limitado de endereços IP e MAC exclusivos da vítima coletados.
Solicita-se aos usuários sul-coreanos que procurem páginas de phishing que tentem imitar as páginas de login bancário. A natureza dos cibercriminosos que geram sites de phishing para se parecer com sites bancários legítimos é muito engenhosa e pode acabar com muitas outras credenciais de login, aproveitando o BlackMoon e seus recursos. Além disso, poderíamos ver o BlackMoon sair da Coreia do Sul e ter como alvo usuários de bancos on-line em outras regiões do mundo. Nós suspeitamos que é apenas uma questão de tempo.