Saudações!
Os criadores de malwares financeiros estão tentando evitar novos sistemas de segurança bancária online, retornando às mais tradicionais técnicas de roubo de credenciais utilizadas em ataques phishing (quando golpistas enviam e-mails falsos ou avisos bancários maliciosos e as vítimas enviam seus dados para os cibercriminosos), de acordo com pesquisadores da empresa de segurança Trusteer.
A maioria dos programas maliciosos financeiros utilizados por cibercriminosos atualmente são capazes de adulterar em tempo-real as sessões bancárias iniciadas pelas vítimas em seus computadores. Isso inclui a habilidade de executar operações fraudulentas em segundo plano e escondê-las do usuário, modificando o saldo da conta e o histórico de transações exibidas no browser.
Como resultado, bancos tiveram que implantar sistemas para monitorar como os clientes interagem com seus sites e detectar anomalias que podem indicar uma atividade de malware.
No entanto, parece que alguns criadores de malware estão retomando algumas das técnicas mais tradicionais que envolvem o roubo de credenciais para usá-las a partir de um computador diferente, a fim de evitar que sejam detectados.
Os pesquisadores da Trusteer detectaram recentemente mudanças nos Cavalos de Troia financeiros Tinba e Tilon, programas projetados para prevenir que as vítimas acessem os sites reais dos bancos online e substituir a página original de login por uma versão falsa.
“Quando o cliente acessa o site do banco, o malware apresenta uma página web completamente falsa que se parece com a página de login original”, afirmou o chefe do departamento de tecnologia da Trusteer, Amit Klein, na quinta-feira (7/1), no blog da empresa.
“Uma vez que o cliente entra com suas credenciais na página falsa, o malware exibe uma mensagem de erro que afirma que o serviço online do banco está indisponível. Enquanto isso, o vírus envia as credenciais roubadas ao cracker que, então, as utiliza em uma máquina completamente diferente para entrar no site como se fosse o cliente e realizar transações fraudulentas.”
Se o banco utiliza autenticação de múltiplos fatores que requer senhas únicas (ou One Time Passawords – OTP), o malware pede esta informação na página falsa também.
Esse tipo de roubo de credencial é semelhante aos tradicionais ataques de phishing, mas é mais difícil de ser detectado, porque a URL na barra de endereços do navegador é a do site real e não um endereço falso.
“Não é tão sofisticado quanto injetar transações bancárias em sessões da web em tempo-real, mas ela cumpre com o objetivo de escapar da detecção”,
disse Klein.
Esse recurso de “substituição total da página” está presente na versão 2 do Tinba, que pesquisadores da Trusteer descobriram e analisaram recentemente. O malware vem com suporte para Chrome e tenta limitar seu tráfego de rede, armazenando imagens carregadas na página falsa localmente.
Segundo os pesquisadores da Trusteer, o Tinba v2 já é usado em ataques contra as principais instituições financeiras e serviços de consumo online. “Os bancos sempre enfrentaram dois vetores de ataque no canal online”, disse Klein. “O primeiro é o roubo de credenciais. Existem várias maneiras para executar este tipo de malware, incluindo ataque, pharming e phishing.”
Ataques pharming,também conhecidos como envenenamento de cache DNS, consistem em corromper o Sistema de Nomes de Domínio, fazendo com que a URL de um site seja redirecionada para um servidor diferente do original.
“O segundo vetor de ataque é o sequestro da sessão por meio do malware. Esses dois vetores exigem duas diferentes soluções”,
disse Klein.
Os bancos devem se certificar de que eles têm proteção no local contra os dois tipos de golpe, caso contrário, os cibercriminosos irão se adaptar rapidamente as suas técnicas, disse Klein. “Você não pode colocar um cadeado na porta e deixar a janela aberta.”
Por Tony
Fonte: TestedeInvasao
Os criadores de malwares financeiros estão tentando evitar novos sistemas de segurança bancária online, retornando às mais tradicionais técnicas de roubo de credenciais utilizadas em ataques phishing (quando golpistas enviam e-mails falsos ou avisos bancários maliciosos e as vítimas enviam seus dados para os cibercriminosos), de acordo com pesquisadores da empresa de segurança Trusteer.
A maioria dos programas maliciosos financeiros utilizados por cibercriminosos atualmente são capazes de adulterar em tempo-real as sessões bancárias iniciadas pelas vítimas em seus computadores. Isso inclui a habilidade de executar operações fraudulentas em segundo plano e escondê-las do usuário, modificando o saldo da conta e o histórico de transações exibidas no browser.
Como resultado, bancos tiveram que implantar sistemas para monitorar como os clientes interagem com seus sites e detectar anomalias que podem indicar uma atividade de malware.
No entanto, parece que alguns criadores de malware estão retomando algumas das técnicas mais tradicionais que envolvem o roubo de credenciais para usá-las a partir de um computador diferente, a fim de evitar que sejam detectados.
Os pesquisadores da Trusteer detectaram recentemente mudanças nos Cavalos de Troia financeiros Tinba e Tilon, programas projetados para prevenir que as vítimas acessem os sites reais dos bancos online e substituir a página original de login por uma versão falsa.
“Quando o cliente acessa o site do banco, o malware apresenta uma página web completamente falsa que se parece com a página de login original”, afirmou o chefe do departamento de tecnologia da Trusteer, Amit Klein, na quinta-feira (7/1), no blog da empresa.
“Uma vez que o cliente entra com suas credenciais na página falsa, o malware exibe uma mensagem de erro que afirma que o serviço online do banco está indisponível. Enquanto isso, o vírus envia as credenciais roubadas ao cracker que, então, as utiliza em uma máquina completamente diferente para entrar no site como se fosse o cliente e realizar transações fraudulentas.”
Se o banco utiliza autenticação de múltiplos fatores que requer senhas únicas (ou One Time Passawords – OTP), o malware pede esta informação na página falsa também.
Esse tipo de roubo de credencial é semelhante aos tradicionais ataques de phishing, mas é mais difícil de ser detectado, porque a URL na barra de endereços do navegador é a do site real e não um endereço falso.
“Não é tão sofisticado quanto injetar transações bancárias em sessões da web em tempo-real, mas ela cumpre com o objetivo de escapar da detecção”,
disse Klein.
Esse recurso de “substituição total da página” está presente na versão 2 do Tinba, que pesquisadores da Trusteer descobriram e analisaram recentemente. O malware vem com suporte para Chrome e tenta limitar seu tráfego de rede, armazenando imagens carregadas na página falsa localmente.
Segundo os pesquisadores da Trusteer, o Tinba v2 já é usado em ataques contra as principais instituições financeiras e serviços de consumo online. “Os bancos sempre enfrentaram dois vetores de ataque no canal online”, disse Klein. “O primeiro é o roubo de credenciais. Existem várias maneiras para executar este tipo de malware, incluindo ataque, pharming e phishing.”
Ataques pharming,também conhecidos como envenenamento de cache DNS, consistem em corromper o Sistema de Nomes de Domínio, fazendo com que a URL de um site seja redirecionada para um servidor diferente do original.
“O segundo vetor de ataque é o sequestro da sessão por meio do malware. Esses dois vetores exigem duas diferentes soluções”,
disse Klein.
Os bancos devem se certificar de que eles têm proteção no local contra os dois tipos de golpe, caso contrário, os cibercriminosos irão se adaptar rapidamente as suas técnicas, disse Klein. “Você não pode colocar um cadeado na porta e deixar a janela aberta.”
Por Tony
Fonte: TestedeInvasao
Sáb Mar 23, 2024 10:28 am por joram
» KpRm ( ... by Kernel-panik )
Ter Ago 11, 2020 9:47 pm por joram
» ESET Rogue Applications Remover ( ... by Eset.com )
Sáb Ago 01, 2020 7:49 am por joram
» PW Clean 2.7 ( ... by Doutor PW )
Ter maio 15, 2018 9:27 am por joram
» CKScanner ( ... by askey127 )
Sáb maio 05, 2018 1:12 pm por joram
» AdwCleaner ( ... by XPlode )
Seg Abr 16, 2018 8:47 am por joram
» ZHPDiag ( ... de Nicolas Coolman )
Sáb Abr 14, 2018 8:56 am por joram
» Argente - Registry Cleaner ( ... by Argente Software )
Dom Nov 19, 2017 4:36 pm por joram
» ListChkdskResult ( ... by SleepyDude )
Dom Set 24, 2017 1:39 pm por joram