Qadars v3 mira Bancos do Reino Unido
O trojan Qadars existe desde 2013, mas os pesquisadores da IBM X-Force disseram que a 3a versão principal do malware só foi lançado no primeiro trimestre de 2016.
Desde 2015, os cibercriminosos têm vindo a utilizar o malware em ataques destinados a Austrália, Canadá, Estados Unidos e na Holanda, mas a última variante foi criada para atingir o Reino Unido também.
O malware tem uma arquitetura modular e fornece todas as características necessárias pelos cibercriminosos para roubar dinheiro de contas bancárias, incluindo injeções-web obtida em tempo real a partir de um servidor remoto, sistemas de monitorização e manipulação de atividade do navegador, aplicações seqüestro-SMS para ignorar Autenticação de 2-Fatores e Sistema de Transferência Automatizado (ATS).
Além de bancos, o trojan tem sido usado para roubar credenciais de redes sociais, sites de apostas desportivas, plataformas de e-commerce e serviços de pagamento.
As variantes do Qadars v3 trazem um melhor desempenho para os mecanismos de injeção-web e eles são melhores em burlar a detecção e prevenção de pesquisadores de analisá-los. A ofuscação do código foi melhorada e a rede Tor é usada para descarregar módulos e para as comunicações "C&C" (Comando-e-Controle).
A fim de obter direitos de administrador na máquina alvo, o trojan exibe uma falsa atualização de segurança do Windows, o que desencadeia uma caixa de diálogo User Account Control (UAC), que continua aparecendo até que a vítima clica em "Sim" e concede Qadars privilégios elevados.
"Os volumes de ataque Qadars, em comparação com trojans como Neverquest ou Dridex, são mais humildes. Embora não seja uma das 10 principais ameaças de malware financeiros na lista global, no entanto, este Trojan tem sido detetado sob o radar por mais de três anos, atacando os bancos em diferentes regiões utilizando recursos e capacidades avançadas.", explicou Limor Kessem e Hanan Natan, da IBM. "É possível que os volumes de ataque Qadars permanecem limitados porque seus operadores optem por se concentrar em países específicos em cada uma de suas farras de infecção, provavelmente para manter sua operação focada e menos visível."
