COMUNICADO Trojans ameaçam banca online, desta vez pela mão do Trojanbanker.win32.bifitAgent O uso de um token USB numa transacção não representa qualquer obstáculo para os cibercriminosos, já que o token assina a transacção depois de os dados terem sido falseados Os cibercriminosos obtêm acesso a equipamentos integrados em redes zombi que usam sistemas bancários BIFIT e instalam o Trojan-banker.win32.bifitAgent Lisboa, 22 de Maio de 2013.- Os programas maliciosos que roubam dados confidenciais para entrar nos sistemas bancários online provocam dores de cabeça às organizações financeiras de todo mundo há já algum tempo. Desta vez, estamos a falar de um programa que modifica o montante e o destinatário das transacções legítimas de banca online sem o conhecimento da vítima. Há um ano, a Kaspersky Lab descrevia a fórmula utilizada pelo primeiro programa malicioso desenhado para atacar os utilizadores de um software para banca online desenvolvido pela companhia BIFIT. Mas hoje continuam a existir vários programas maliciosos com a mesma funcionalidade, entre eles: TROJAN-BANKER.WIN32.IBank Trojan-banker.win32.oris Trojan-banker.win32.bifiBank Trojan-banker.win32.bifitAgent Este último programa malicioso tem várias características técnicas que o distinguem dos seus semelhantes, já que executa dois módulos principais no equipamento capturado: um ficheiro executável e um ficheiro comprimido JAVA. Enquanto se instala, cria uma pasta para a qual são copiados os seguintes ficheiros: Página 1 AGENT.EXE v, o principal módulo executável responsável pelas comunicações com o servidor de comando. Este módulo é capaz de se auto-actualizar, gerir processos, executar comandos através de Cmd.exe, e descarregar e executar qualquer ficheiro, sempre obedecendo os comandos procedentes do servidor de comando. ALL.POLICY v, um ficheiro de configuração JAVA que elimina qualquer restrição de segurança relacionada com JAVA. BIFIT_A.CFG v, o ficheiro de configuração dos programas maliciosos que inclui o número de identificação dos sistemas infectados e os endereços dos servidores de comando. BIFIT_AGENT.JAR v, um ficheiro comprimido JAVA que contém o código para interagir com os sistemas da BIFIT. JAVASSIST.JAR v, um ficheiro comprimido JAVA que inclui as funções adicionais que requer BIFIT_AGENT.JAR. O principal módulo executável, responsável pela comunicação com o servidor de comando, funciona de forma simultânea com os ficheiros maliciosos JAR. Isto permite aos cibercriminosos modificar de forma instantânea qualquer código que seja executado em JAVA, em particular enquanto se realizam as transacções bancárias. O código de BIFIT_AGENT.JAR está altamente ocultado, dificultando ainda mais a análise dos ficheiros que interagem com estes sistemas. Não obstante, é possível reconstruir acções do programa malicioso já que este possui amplas capacidades relacionadas com o registo das suas próprias acções. A análise da funcionalidade incluída no BIFIT_AGENT.JAR demonstra que a principal função dos ficheiros JAR é falsificar os dados utilizados nas transacções bancárias realizadas a partir dos equipamentos infectados. E tudo isto passa despercebido ao utilizador, já que os dados falsificados são os que são enviados para o banco, não os que são visualizados pelo utilizador. O uso de um token USB na transacção não representa qualquer obstáculo para os atacantes, já que a transacção só é assinada após a falsificação dos dados. Uma das características particulares do Trojan-banker.win32.bifitAgent é que inclui uma assinatura digital. Em Abril, a lista de programas maliciosos da Kaspersky Lab incluía cerca de 10 variantes do programa malicioso, todas com uma assinatura válida emitida por Accurate CNC. Página 2 Foram detectadas instalações do Trojan-banker.win32.bifitAgent em equipamentos que fazem parte de redes zombi criadas por programas maliciosos como TROJAN.WIN32.DNSChanger, Backdoor.win32.shiz, Virus.win32.sality, etc. Mas não foi detectada qualquer propagação através de exploits. Pela distribuição de infecções podemos deduzir que os cibercriminosos obtêm acesso a equipamentos pertencentes a redes zombi nos quais detectam sistemas bancários BIFIT e procedem à instalação do Trojan-banker.win32.bifitAgent. Os utilizadores devem certificar-se de que só acedem pessoas de confiança ao seu computador e utilizar ou actualizar só aplicações de fontes seguras que garantam que não estão infectadas. Recomenda-se a utilização de programas de segurança actualizados, como soluções antivírus, firewall pessoais, produtos que protejam contra o acesso não autorizado, etc. Além disso, se o utilizador receber uma mensagem de erro quando estiver a ligar-se ao servidor do seu banco, deve contactar de imediato a sua entidade bancária, averiguar se os seus servidores estão a funcionar normalmente e comprovar quando foi realizada a última transacção. Se necessitar de mais informação, pode aceder à nossa sala de imprensa online, o Kaspersky Lab Newsroom Portugal (http://newsroom.kaspersky.eu/pt/), disponível para todos os jornalistas. A sala de imprensa está desenhada explicitamente para facilitar aos jornalistas a localização de informação de produto e corporativa, notícias e dados, artigos, imagens, vídeos e ficheiros de áudio. Kaspersky Lab A Kaspersky Lab é o maior fabricante privado do mundo de soluções de protecção endpoint. A companhia encontra-se entre os quatro maiores fabricantes do mundo de soluções endpoint*. Ao longo dos seus mais de 15 anos de história, a Kaspersky Lab tem sido sempre uma referência de inovação em segurança TI e oferece soluções eficazes para grandes empresas, PMEs e consumidores. A Kaspersky Lab, cuja companhia proprietária se encontra registada no Reino Unido, opera hoje em mais de 200 países e territórios em todo o mundo, proporcionando protecção a mais de 300 milhões de utilizadores. Saiba mais em www.kaspersky.pt. * A empresa foi classificada na quarta posição no ranking da IDC “Worldwide Endpoint Security Revenue by Vendor, 2011”. Esta classificação foi publicada no relatório da IDC "Worldwide Endpoint Security 2012–2016 Forecast and 2011 Vendor Shares (IDC #235930, July 2012)”. O ranking lista os fabricantes de software de acordo com as suas receitas provenientes da venda de soluções de segurança endpoint em 2011. Para mais informações, contacte: LANÇA PALAVRA Ana Margarida Paula Tel. +351 962543653 Fax +351 243372981 Email [email protected] Kaspersky Lab Iberia Vanessa González Directora de Comunicação Tel. +34 91 398 37 52 Email [email protected] Página 3 © 2013 Kaspersky Lab. A informação contida pode ser sujeita a mudanças sem aviso prévio. As únicas garantias dos produtos e serviços da Kaspersky Lab estão definidas de agora em diante nas declarações de garantia expressa que acompanham estes produtos e serviços. Nada do que aqui se expressa pode ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza por erros técnicos ou editoriais ou omissões cometidos no texto. Página 4