Novo trojan rouba senhas - e seu dinheiro também
30/09/2009 07:54
Pesquisadores da empresa de segurança Finjan descobriram um novo tipo de Trojan que não apenas rouba suas senhas bancárias mas também rouba o dinheiro diretamente da sua conta enquanto você está logado e ainda exibe um saldo falso!
O Trojan, chamado URLzone, tem recursos criados para enganar sistemas de detecção contra fraudes que são ativados quando transações incomuns são efetuadas. O Trojan é programado para calcular em tempo real quanto dinheiro ele precisa roubar de uma conta com base no saldo disponível.
O Trojan analisado pela Finjan visa especificamente clientes de bancos alemães. Ele estava conectado a um servidor localizado na Ucrânia que estava sendo usado para enviar as instruções para o Trojan nos PCs infectados. A Finjan já notificou as autoridades na Alemanha.
"Ele pode ser considerado como uma nova geração de Trojans", disse Yuval Ben-Itzhak, da Finjan. "Ele faz parte de uma nova geração de Trojans criados para burlar os sistemas antifraude", disse ele.
Os pesquisadores da empresa foram capazes de rastrear a comunicação entre um PC infectado e o servidor de controle do Trojan, de acordo com Ben-Itzhak. Neste servidor, eles viram o console de administração LuckySploit e foram capazes de ver exatamente quais tipos de regras foram escritas para o Trojan e também algumas estatísticas sobre as vítimas.
Cerca de 90 mil computadores visitaram sites que hospedavam o malware e mais de 6.400 deles foram infectados, uma taxa de sucesso de 7,5%. Dos PCs que foram infectados pelo Trojan, algumas centenas tiveram dinheiro roubado de suas contas bancárias.
No decorrer de 22 dias no mês de agosto, os criminosos por trás do malware roubaram em euros o equivalente a US$ 438.000, de acordo com a Finjan.
O código do Trojan inclui instruções detalhadas sobre como o malware
deve calcular a quantia a ser roubada da conta de suas vítimas
(clique na imagem para ampliá-la)
As vítimas em potencial tem seus PCs infectados através de mensagens de e-mail, de sites criados especificamente para a distribuição do malware ou através de sites comprometidos pelos criminosos.
Neste caso, um kit de ferramentas chamado LuckySpoilt explora uma falha de segurança no navegador e instala o Trojan no computador. Quando o Trojan percebe que o usuário do PC infectado está visitando o site de um banco, o malware entra em ação.
Enquanto o usuário faz o que precisa fazer logado em sua conta no site do banco, o Trojan procura pelo saldo disponível e determina a quantia a ser roubada. O Trojan tem um valor mínimo e máximo que fica logo abaixo da quantia necessária para ativar o sistema antifraude.
Depois de determinar a quantia a ser roubada, o Trojan efetua a transação sem o conhecimento do usuário! "O Trojan se comunica com o banco e recebe o retorno sem você saber", disse Ben-Itzhak. "Você está olhando para sua conta e não vê o que está acontecendo na verdade".
O Trojan então envia o dinheiro para a conta de um "laranja", alguém que cria a conta apenas para receber o dinheiro roubado. Estes "laranjas" são recrutados pela internet como "gerentes financeiros" cujo único propósito é transferir o dinheiro roubado de sua conta para outra, quase sempre localizada fora do país, em troca de uma comissão.
Enquanto isso, o Trojan esconde o roubo removendo o registro da transação e exibindo um saldo falso. A vítima só perceberá que há algo errado quando outro PC não infectado tentar acessar a conta, quando um caixa eletrônico for usado ou se uma transação for negada por causa do saldo insuficiente.
De acordo com um relatório da Finjan, o Trojan também mantém um registro sobre a conta da vítima, tira screenshots e rouba senhas de contas de outros serviços como PayPal, Facebook e Gmail.
30/09/2009 07:54
Pesquisadores da empresa de segurança Finjan descobriram um novo tipo de Trojan que não apenas rouba suas senhas bancárias mas também rouba o dinheiro diretamente da sua conta enquanto você está logado e ainda exibe um saldo falso!
O Trojan, chamado URLzone, tem recursos criados para enganar sistemas de detecção contra fraudes que são ativados quando transações incomuns são efetuadas. O Trojan é programado para calcular em tempo real quanto dinheiro ele precisa roubar de uma conta com base no saldo disponível.
O Trojan analisado pela Finjan visa especificamente clientes de bancos alemães. Ele estava conectado a um servidor localizado na Ucrânia que estava sendo usado para enviar as instruções para o Trojan nos PCs infectados. A Finjan já notificou as autoridades na Alemanha.
"Ele pode ser considerado como uma nova geração de Trojans", disse Yuval Ben-Itzhak, da Finjan. "Ele faz parte de uma nova geração de Trojans criados para burlar os sistemas antifraude", disse ele.
Os pesquisadores da empresa foram capazes de rastrear a comunicação entre um PC infectado e o servidor de controle do Trojan, de acordo com Ben-Itzhak. Neste servidor, eles viram o console de administração LuckySploit e foram capazes de ver exatamente quais tipos de regras foram escritas para o Trojan e também algumas estatísticas sobre as vítimas.
Cerca de 90 mil computadores visitaram sites que hospedavam o malware e mais de 6.400 deles foram infectados, uma taxa de sucesso de 7,5%. Dos PCs que foram infectados pelo Trojan, algumas centenas tiveram dinheiro roubado de suas contas bancárias.
No decorrer de 22 dias no mês de agosto, os criminosos por trás do malware roubaram em euros o equivalente a US$ 438.000, de acordo com a Finjan.
O código do Trojan inclui instruções detalhadas sobre como o malware
deve calcular a quantia a ser roubada da conta de suas vítimas
(clique na imagem para ampliá-la)
As vítimas em potencial tem seus PCs infectados através de mensagens de e-mail, de sites criados especificamente para a distribuição do malware ou através de sites comprometidos pelos criminosos.
Neste caso, um kit de ferramentas chamado LuckySpoilt explora uma falha de segurança no navegador e instala o Trojan no computador. Quando o Trojan percebe que o usuário do PC infectado está visitando o site de um banco, o malware entra em ação.
Enquanto o usuário faz o que precisa fazer logado em sua conta no site do banco, o Trojan procura pelo saldo disponível e determina a quantia a ser roubada. O Trojan tem um valor mínimo e máximo que fica logo abaixo da quantia necessária para ativar o sistema antifraude.
Depois de determinar a quantia a ser roubada, o Trojan efetua a transação sem o conhecimento do usuário! "O Trojan se comunica com o banco e recebe o retorno sem você saber", disse Ben-Itzhak. "Você está olhando para sua conta e não vê o que está acontecendo na verdade".
O Trojan então envia o dinheiro para a conta de um "laranja", alguém que cria a conta apenas para receber o dinheiro roubado. Estes "laranjas" são recrutados pela internet como "gerentes financeiros" cujo único propósito é transferir o dinheiro roubado de sua conta para outra, quase sempre localizada fora do país, em troca de uma comissão.
Enquanto isso, o Trojan esconde o roubo removendo o registro da transação e exibindo um saldo falso. A vítima só perceberá que há algo errado quando outro PC não infectado tentar acessar a conta, quando um caixa eletrônico for usado ou se uma transação for negada por causa do saldo insuficiente.
De acordo com um relatório da Finjan, o Trojan também mantém um registro sobre a conta da vítima, tira screenshots e rouba senhas de contas de outros serviços como PayPal, Facebook e Gmail.
Comentários