top of page

Bolek: novo malware ameaça bancos


O novo Trojan bancário Bolek é um malware polimórfico de arquivos, que tem como alvo ambas as versões do Windows de 32 bits e de 64 bits e pode executar uma ampla variedade de ações nas máquinas infectadas:

  • pode realizar injeções web (sequestrar seu acesso ao Banco);

  • interceptação de tráfego (espionagem);

  • tirar screenshots (fotos da tela - espionagem);

  • executar keylogging (captura do teclado);

  • furtar credenciais de login a partir de aplicações bancárias online.


Além do mais, o malware pode estabelecer conexões RDP-reverso (Remote Desktop Protocol), permitindo acesso ao seu computador sem seu conhecimento.


De acordo com pesquisadores do Doctor Web, este "cavalo de Tróia" também herda uma série de características de Trojan.PWS.Panda (Zeus), podendo até lançar um servidor e proxy HTTP SOCKS-5 local para executar comandos CMD - na prática, configurar seu computador como um servidor de comandos para o malware, executando funções restritas de Administrador.


Pesquisadores de segurança da PhishMe, afirmam que Bolek é baseado em KBOT, código-fonte do Carberp (vendido na DeepWeb), só que mais sofisticado. Também explicam que o Trojan usa vários truques para prejudicar os esforços de detecção e análise. O malware utiliza a funcionalidade de importação inteligente e também utiliza uma metodologia complexa para garantir que ele tenha persistência na máquina infectada (uma vez retirado, volta a se instalar).


Durante a infecção, BOLEK abusa dos processos "svchost.exe" ou do "Winlogon.exe" para executar operações. Ele também mantém determinados valores de tempo de execução na memória, incluindo os domínios de "Comando-e-Controle" (C&C), bem como algumas das configurações do bot - um esquema sofisticado de manutenção de sua comunicação com seus criadores e recebimento de comandos. O cavalo-de-Troia armazena os dados de configuração em JSON e pode enviar uma grande quantidade de dados para o servidor C&C, incluindo versões, hashes de arquivos e aplicativos instalados.


Cada vez que é executado no PC infectado, o malware cria uma pasta de arquivos aleatoriamente nomeada no diretório System32 do Windows e coloca três arquivos nele. Esses arquivos incluem um executável ".EXE" aleatoriamente chamado (uma aplicação do sistema copiado de system32), um arquivo tipo ".DLL" (importado pelo executável no início da execução), e um outro arquivo com uma extensão diferente, também aleatória. O malware modifica a DLL através da injeção de código malicioso usando a função "DllEntryPoint" e aproveita a legitimidade do executável e sua .DLL importada para obter a persistência.


Investigadores também descobriram que o software malicioso pode ser configurado para se tornar um "verme/virus" (worm), o que lhe permite auto-propagar a partir de uma máquina para outra - típico processo de infecção. Ele também inclui a capacidade de receber atualizações, o que significa que seus operadores podem facilmente mudar táticas no meio da campanha, se quiserem.


Bolek está se comunicando com o servidor C&C por meio de solicitações HTTP POST e que usa criptografia para proteger a comunicação. O malware usa criptografia de chave pública, mas não emprega RSA para as suas necessidades de criptografia, como outros Trojans bancários fazem. Em vez disso, ele usa criptografia de Curva-Elíptica (Curve25519) como um mecanismo de troca de chaves entre o anfitrião (você) e o servidor.


De acordo com o pesquisadores da Arbor Networks, o BOLEK que eles analisaram foi focado em bancos russos e sites relacionados a Bitcoin, mas o malware também foi observado sendo direcionado aos usuários na Polónia. Sua infraestrutura também foi usada em campanhas contra telecomunicações canadenses e bancos on-line, bem como para a distribuição de malware no Android, mas não está claro se o mesmo ator opera todos os três modos - o que pode apenas significar "versões" já sendo construídas.

Tags:

Destaques
Posts Recentes
Arquivo
Busca por Tags
Siga-nos
  • LinkedIn Social Icon
bottom of page