Banking malwares evoluiu muito durante o último par de anos. Novas peças de malware bancário continuar a emergente, alvejando bancos de todo o mundo. A última ameaça do tipo foi identificada por pesquisadores da Proofpoint e Fox IT InTELL. O cavalo de Troia do Panda banking compartilha recursos com os infames (e relativamente velho) Zeus, e atualmente está atacando bancos na Austrália e no Reino Unido.
Mais cavalos de Troia bancários para se manter longe:
Acecard, Trojan Android e ferramenta Phishing metas ao longo 30 bancos
bancários Botnets 2015: Vários cenários de ataque, Mais recursos
Panda Banker: Uma análise do ataque
De acordo com pesquisadores, os primeiros ataques, iniciado por meio de arquivos maliciosos do Microsoft Word, foram registrados em março 10. Como sempre, vulnerabilidades específicas no MS Word são exploradas, identificado como:
CVE-2014-1761
(De cve.mitre.org)
Microsoft Word 2003 SP3, 2007 SP3, 2010 SP1 e SP2, 2013, e 2013 RT; Visualizador de Word; Pacote de compatibilidade com o Office SP3; Office para Mac 2011; Word Automation Services no SharePoint Server 2010 SP1 e SP2 e 2013; Office Web Apps 2010 SP1 e SP2; e Office Web Apps Server 2013 permitir que invasores remotos executem códigos arbitrários ou causem negação de serviço (corrupção de memória) por meio de dados RTF elaborados, como explorado na natureza em março 2014.
CVE-2012-0158
(De cve.mitre.org)
o (1) Exibição de lista, (2) ListView2, (3) TreeView, e (4) TreeView2 controles ActiveX em MSCOMCTL.OCX nos controles comuns no Microsoft Office 2003 SP3, 2007 SP2 e SP3, e 2010 Gold e SP1; Escritório 2003 Web Components SP3; servidor SQL 2000 SP4, 2005 SP4, e 2008 SP2, SP3, e R2; BizTalk Server 2002 SP1; Commerce Server 2002 SP4, 2007 SP2, e 2009 Ouro e R2; Visual FoxPro 8.0 SP1 e 9.0 SP2; e Visual Basic 6.0 O tempo de execução permite que atacantes remotos executem código arbitrário por meio de um (uma) local na rede Internet, (b) Documento de escritório, ou (c) .arquivo rtf que dispara “estado do sistema” corrupção, como explorado na natureza em abril 2012, aka “Vulnerabilidade MSCOMCTL.OCX RCE.”
Para que essas vulnerabilidades sejam exploradas, a vítima potencial é induzida a habilitar as macros nos arquivos do Word. Quanto aos próprios arquivos, eles estão sendo espalhados em campanhas de e-mail direcionadas. Durante o ataque detectado, os e-mails foram enviados para pessoas que trabalham na mídia de massa e corporações de manufatura. Em um ataque bem sucedido, ao habilitar as macros no documento do Word, O malware do Panda banking é baixado de 78.128.92[.]31/gert.exe - uma sub-rede usada para vários ataques direcionados, como apontado pela equipe de pesquisa.
Que tipo de informação o Panda Banker rouba?
Uma vez que uma conexão com o comando & servidor de controle está estabelecido, O banco da Panda enviará informações para casa, como (Mas não limitado a):
- Nome de usuário atual;
- Executando programa AV e firewall;
- Os detalhes sobre o sistema operacional;
- Nome do computador.
Assim que as informações necessárias forem enviadas e recebidas, o comando & o servidor de controle responde com um arquivo de configuração que contém outros C&servidores C. Além disso, o arquivo contém uma lista de sites (portais bancários) para o Panda comprometer inserindo código malicioso.
De acordo com a pesquisa da Proofpoint, os clientes dos seguintes bancos são visados: Banco Santander, Lloyds Bank, Banco de Escócia, TSB, e Halifax Reino Unido.
Outro método de distribuição empregado pelos criadores do Panda é por meio de kits de exploração. Isso é o que dizem os pesquisadores:
Observamos pelo menos três kits de exploração diferentes entregando o Panda Banker desde março. Isso inclui o Angler Exploit Kit, Kit de exploração nuclear, e Neutrino Exploit Kit. Nossas observações mostram que a geofiltragem foi usada para entregar a carga útil do Panda Banker na Austrália e no Reino Unido.
Remoção do Panda Banker. Proteção e Prevenção
Os cavalos de Troia bancários causaram grandes danos a usuários desavisados, gerar transações fraudulentas e roubar credenciais bancárias. Cenários de ataque podem ser ainda piores, se o Trojan bancário específico instalar malware adicional, como ransomware. Já que o malware bancário continua a ser um grande problema na segurança cibernética, é natural perguntar-se como se pode evitar tornar-se uma vítima.
Para preocupações relacionadas com a segurança óbvias, macros são normalmente desativada por Microsoft por padrão. Contudo, cibercriminosos sabem disso e sempre encontrar maneiras de tornar potenciais vítimas ativar macros e, posteriormente, ser infectado, exatamente como no caso de ataques do Panda.
Em resumo, para aumentar a segurança contra malware bancário, e qualquer malware realmente, Siga esses passos:
- Desabilitar macros em aplicativos do Microsoft Office.A primeira coisa a fazer é verificar se as macros são desactivadas no Microsoft Office. Para maiores informações, Visita página oficial do Microsoft Office. Tenha em mente que se você for um usuário corporativo, o administrador do sistema é o único que está a cargo das configurações padrão macro.
- Não abra e-mails suspeitos. Simples assim. Se você receber um e-mail inesperado de um remetente desconhecido - como uma factura - não abri-lo antes de ter certeza que ele é legítimo. Spam é a principal forma de distribuição de malwares macro.
- Empregar medidas anti-spam. Use software anti-spam, filtros de spam, destinada a examinar e-mails recebidos. Tal software isola o spam de e-mails regulares. filtros de spam são projetados para identificar e detectar spam, e impedi-lo de alcançar sua caixa de entrada. Certifique-se de adicionar um filtro de spam para o seu e-mail. Os usuários do Gmail podem referir-se a do Google página de suporte.
E não se esqueça de manter o seu programa anti-malware atualizado e funcionando em todos os momentos!