Panda-Banker chega ao Brasil no rastro dos Jogos Olímpicos
Conforme noticiado neste post, uma grande onda de Trojan Bancários vêm tomando conta de todo o mundo. O raciocínio dos grupos maliciosos que os explora é simples: roubam muito, de poucos, e tudo coberto por Seguro - nenhum cliente é prejudicado.
Uma variante de Zeus Trojan conhecido como Panda Banker tem como zona-alvo o Brasil, onde ele se concentra em 10 bancos locais e diversas plataformas de pagamento, os pesquisadores da IBM X-Force advertem.
O malware foi descoberto no início deste ano visando bancos na Europa e América do Norte, mas mudou para o Brasil recentemente, supostamente em uma tentativa de ganhar dinheiro com os jogos Olímpicos que acontecem no país.
Também conhecido como Zeus Panda , esta variante Zeus foi criada com base no código-fonte do deste Trojan, que vazou em 2011 e que gerou outros Trojans bancários comerciais também. De acordo com Limor Kessem da IBM, o Panda Banker é "foi propagado através de placas subterrâneas na Dark Web pelo desenvolvedor" e é vendido em pacotes de cibercrime-como-um-serviço (HaaS).
Nota: veja meu artigo HaaS (12/jan/2015) no Linked-IN para entender melhor.
Os investigadores vêm observando variantes Zeus Panda desde o primeiro trimestre do ano, quando botnets que os espalham usaram como alvo principalmente os bancos na Europa (Reino Unido, Alemanha, Países Baixos, Polónia) e América do Norte (Canadá e os EUA).
Estas variações revelaram diversas configurações, embora todos eles se concentrem na segmentação de serviços bancários on-line pessoais, mas também pagamentos online, cartões pré-pagos, programas de fidelidade das companhias aéreas, contas de apostas on-line e outros.
O Panda Banker descoberto no Brasil pela primeira vez julho 2016, busca, com uma nova configuração focada no Brasil, a intenção de roubar credenciais dos clientes de 10 grandes bancos do país. Além disso, também verificou-se preparado para atingir plataformas Bitcoin de câmbio, serviços de cartões de pagamento e os fornecedores de pagamentos on-line, entre outros.
"Os operadores do Panda também estão interessados em infectar os usuários que acessam os serviços de entrega para uma cadeia brasileira de supermercados, websites policiais locais, fornecedores de hardware de segurança de rede locais, pagamentos por boleto e um programa de fidelidade específico para o comércio com sede no Brasil," a IBM relata, além dos clientes para um provedor de serviços de gerenciamento de ATM.
Os pesquisadores de segurança também sugerem que, embora seja difícil dizer quem está por trás desta variante, a configuração do malware sugere o envolvimento de um grupo de cibercrime profissional, pelo menos parcialmente localizada no Brasil.
"Uma dica apontando para possíveis origens dos operadores da Panda é a URL de um serviço on-line com sede na Rússia, que ajuda os usuários com transferências instantâneas de dinheiro, pagamentos, depósitos e saídas através de plataformas de pagamentos on-line, pagamentos através de operadoras móveis e muito mais", observa a IBM.
A variante de malware descoberta em ataques no Brasil é baseada no código existente e emprega os mesmos métodos de fraude online, associadas a outros Trojans bancários. Ele pode pegar credenciais de login, podem injetar códigos maliciosos em sessões web em curso e também usa engenharia social, enquanto seus operadores parecem ter amplo conhecimento sobre o uso de painéis de transações automatizadas (ATS).
O cavalo de Tróia é distribuído através de documentos do Word envenenado com macros maliciosos, mas também foi visto espalhando via populares kits de exploração (Exploit-Kits) como "Phishing" e "Neutrino" no passado.
O movimento do Panda-Zeus ao Brasil marca uma grande mudança da paisagem do cibercrime atual no país, que é dominada por códigos relativamente simplistas, projetados para cenários específicos de fraude, fraude de acesso remoto e phishing, dizem os pesquisadores.
O cavalo de Tróia é um "grande passo a partir do código malicioso baseado em Delphi malicioso que é tão típico do país", observa a IBM. Os pesquisadores acrescentam que o movimento também mostra que os cibercriminosos sediadas no Brasil estão estreitando colaboração com fornecedores de cibercrime de outros países e comunidades clandestinas.
