Um fato curioso - bancos israelenses não têm sido alvo por malware bancário. Até agora. pesquisadores da Kaspersky descobriram recentemente o primeiro Trojan bancário fazendo exatamente isso, alvejando bancos israelenses. O cavalo de Tróia foi apelidado ATMZombie.
ATMZombie aplica a técnica de mudança de proxy bem conhecida para farejar o tráfego para páginas bancárias. Após uma série de atividades maliciosas, o dinheiro das vítimas é retirado de caixas eletrônicos pelas chamadas mulas de dinheiro.
Mais sobre Malware ATM
Como funciona o ATMZombie?
Um dos métodos empregados pelo ATMZombie é conhecido como mudança de proxy e é amplamente utilizado para inspeções de pacotes HTTP. Essencialmente, mudanças de proxy envolvem a modificação das configurações de proxy do navegador e apreensão do tráfego entre o cliente e o servidor. Nesse caso, a mudança de proxy atua como um tipo de ataque man-in-the-middle.
Mais sobre bancários Botnets
Os invasores também encontraram uma maneira de transmitir detalhes bancários e, assim, interromper o tráfego HTTPS emitindo seu próprio certificado, incorporado no dropper de Trojan e implementado na autoridade de certificação raiz (CA) lista no computador da vítima.
De fato, a mudança de proxy não é uma técnica revolucionária em ataques de malware. Como já mencionado, a mudança de proxy envolve a modificação dos arquivos de configuração de proxy do navegador e a substituição dos arquivos de configuração automática de proxy padrão do navegador (ou arquivos PAC).
No caso de ATMZombie, os arquivos PAC maliciosos canalizam o tráfego do navegador através do nó intermediário do invasor.
Os pesquisadores descrevem a próxima fase do ataque como um estágio de modo manual porque é limitado apenas a bancos israelenses. Isso se deve a um serviço local que permite ao proprietário da conta bancária transferir dinheiro para outras pessoas sem contas bancárias ou cartões de crédito.
Os pesquisadores acreditam que os invasores são locais
Os operadores da ATMZombie usam credenciais bancárias roubadas para fazer login nas contas das vítimas e enviar pequenos pagamentos para suas chamadas "mulas de dinheiro". Os operadores de malware usam o serviço de transação SMS implantado apenas por bancos israelenses.
Mais sobre Roubo de credenciais bancárias
De acordo com a Kaspersky, vários bancos israelenses e centenas de pessoas foram atacados pelo Trojan. A única boa notícia aqui é que o método usado pelos criadores do ATMZombie não permite que eles retirem grandes quantias de dinheiro. Não há um pagamento maior do que $750.
Tendo em mente que os ataques da ATMZombie são bastante específicos ao sistema bancário israelense, é fácil presumir que os criminosos também são locais. além disso, o emprego de mulas de dinheiro em caixas eletrônicos mostra que o grupo criminoso não opera em nível internacional. Grupos de crimes cibernéticos que trabalham internacionalmente não usariam mulas de dinheiro.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: