Casa > cibernético Notícias > Malware EngineBox usado em ataques a instituições financeiras
CYBER NEWS

EngineBox Malware utilizados em ataques a instituições financeiras

Pesquisadores de segurança descobriram que uma série de ataques em curso usando o malware EngineBox são alvo as instituições financeiras no Brasil. Os hackers usam mensagens de spam maliciosos para enganar as empresas para infectar seus hospedeiros com a ameaça perigosa.

imagem de malwares EngineBox

Story relacionado: Redes internas afetadas por auto-propagação Emotet Trojan

Como o malware EngineBox infecta suas vítimas

O malware Enginebox infecta principalmente via mensagens de e-mail que utilizam truques de engenharia social. O assim chamado “e-mail de phishing” esquema envolve a coordenação de mensagens baseadas em modelos que são enviadas aos funcionários das instituições financeiras. Se eles interagirem com links incorporados ou anexos de arquivos, um script será ativado que baixa a instância do vírus para o computador local.

Os analistas descobriram que, no caso do malware Enginebox, isso é feito usando um script VBS que baixa outro script de um site controlado por hackers. Isso inicia um conjunto predefinido de comandos que levam à infecção real. Esta rota de infecção de várias etapas foi projetada para confundir as soluções antivírus caso elas comecem a rastrear os scripts. Usando este ataque do tipo bounce, certos mecanismos de varredura podem ser ignorados.

Os hackers tentam aumentar os privilégios do arquivo baixado usando um exploit conhecido como MS16-032 que funciona com praticamente todas as versões modernas do sistema operacional Microsoft Windows. Os criminosos usam esse antigo problema de segurança que usa um erro na maneira como o serviço de logon secundário lida com as solicitações.

Recursos de malware EngineBox

Os analistas de segurança cibernética que descobriram o malware EngineBox conseguiram fazer uma investigação aprofundada sobre o fluxo de infecção da ameaça. Verificou-se que está encapsulado em várias camadas criptografadas. Isso significa que a maioria das soluções antivírus pode não ser capaz de identificar infecções recebidas ou ativas. Depois que as vítimas baixam o arquivo binário para o computador, o mecanismo de vírus é iniciado.

No momento, o hacker ou coletivo criminoso por trás disso tem como alvo as maiores instituições financeiras brasileiras, que incluem bancos privados e públicos. Nenhuma informação está disponível sobre a identidade do desenvolvedor ou hackers que o estão usando. É possível que o malware tenha sido desenvolvido por eles do zero.

Como resultado da infecção, o malware Enginebox é capaz de infectar os computadores com uma variedade de módulos de vírus. Um dos principais componentes da ameaça é sua função de sequestrador de navegador. Esta parte do código foi projetada para se infiltrar nos navegadores mais populares, Incluindo: Mozilla Firefox, Safári, Internet Explorer, Google Chrome, Microsoft Edge ou Opera. Isso é feito para redirecionar os usuários para um endereço definido pelo hacker. Normalmente, as configurações importantes são alteradas para refletir essa alteração: a página inicial padrão, página de novas guias ou mecanismo de pesquisa.

Os criminosos por trás dos componentes do sequestrador os criaram de uma maneira que efetivamente extrai informações privadas. A lista inclui cookies armazenados, favoritos, história, configurações, senhas, formar dados e credenciais de conta. Tudo isso é retransmitido para os hackers por meio de uma conexão segura.

O malware Enginebox também é capaz de se infiltrar em outros programas clientes, como clientes FTP e software de desktop remoto. Como o vírus tem como alvo redes corporativas, é muito provável que os criminosos possam obter credenciais para infraestrutura e bancos de dados críticos.

Uma vez que as infecções tenham sido executadas nas máquinas alvo, o mecanismo de malware estabelece uma conexão de rede com os hackers para informá-los sobre a infiltração bem-sucedida. As seguintes atividades são realizadas:

  • O malware EngineBox coleta informações confidenciais do sistema. Isso inclui componentes de hardware, informações de software e lista de processos em execução. Dependendo da configuração das instâncias o vírus pode parar determinados programas, alterar as configurações do Windows ou entrar em outras ações relacionadas.
  • A modificação das configurações essenciais pode ser feita através do registro do Windows, comandos predefinidos ou outros meios.
  • EngineBox foi encontrado para instituir uma instância de backdoor que permite que os hackers assumam o controle dos computadores. Quando isso é feito, os criminosos têm uma opção sempre ativa de espionar as atividades dos usuários. Eles podem usar um keylogger para roubar senhas de todos os tipos de serviços da web – de e-mails a serviços bancários online.
  • O malware Enginebox pode ser usado para invadir outros computadores da rede usando o mesmo código de exploração codificado.
  • Os hackers por trás das máquinas infectadas para instituir malware adicional nelas.
Story relacionado: Invisible Man Trojan Android Metas Usuários de Banking Apps

Ataques bancários de malware EngineBox

Um dos recursos associados a esse vírus é que ele é capaz de coletar efetivamente credenciais de serviços bancários online. Isso é feito usando vários métodos. Um deles depende da capacidade de monitorar as ações das vítimas associadas a uma lista predefinida de sites. Toda vez que um site da lista é acessado, o vírus começa a procurar ativamente por padrões relacionados a combinações de nome de usuário e senha.

As amostras descobertas são capazes de configurar um servidor proxy local que redireciona todo o tráfego para um C controlado por hackers&local C. Várias das amostras coletadas mostram que o malware é controlado por meio de um canal de IRC. Isso fornece uma maneira muito flexível para os operadores criminosos instruírem as máquinas e receberem os dados.

Tal comportamento permite que os operadores criminosos aluguem as máquinas infectadas ou coletem grandes bancos de dados de informações. Os especialistas classificam o ataque como tão grave quanto os vírus são destinados a corporações e não a usuários finais regulares. O malware EngineBox é feito de forma a contornar os sistemas de segurança. Isso o transforma em uma arma muito eficaz nas mãos de um coletivo criminoso.

Os usuários de computador podem se proteger de possíveis invasões e remover infecções ativas empregando uma solução anti-spyware de qualidade.

Baixar

Remoção de Malware Ferramenta


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo