Tecnologia: Cibercriminosos planejam grande ataque contra bancos dos EUA

Postado em: 08-10-2012 Uma quadrilha internacional de cibercriminosos está planejando uma grande campanha para roubar dinheiro de contas online de milhares de consumidores em 30 - ou mais - grandes bancos dos EUA, advertiu a empresa de segurança RSA.

Em uma quinta-feira, a companhia disse ter informa√ß√Ķes que indicam que a quadrilha planeja liberar um Trojan pouco conhecido para se infiltrar em computadores pertencentes aos clientes e usar as m√°quinas sequestradas para iniciar transfer√™ncias banc√°rias fraudulentas de suas contas.

Se bem sucedido, a a√ß√£o pode se tornar uma das maiores opera√ß√Ķes de Cavalos de Troia organizadas at√© agora, segundo afirma√ß√Ķes da especialista em crimes cibern√©ticos da equipe FraudAction, Mor Ahuvia, da RSA. O grupo criminoso estaria recrutando cerca de 100 botmasters (gerenciadores de redes de micros zumbis, as botnets), cada um sendo respons√°vel por ataques contra clientes de bancos norte-americanos em troca de uma parte do saque, como recompensa.

Cada botmaster será apoiado por um "investidor", que fornecerá o dinheiro necessário para a compra do hardware e software utilizados na ação. "Esta é a primeira vez que estamos vendo uma operação de crime cibernético com motivação financeira sendo orquestrada a esta escala", disse Ahivia. "Nós temos visto ataques DDoS e hacking antes. Mas nunca o vi sendo organizado de forma tão grandiosa."

A advert√™ncia da RSA foi dada em um momento em que os bancos dos EUA j√° est√£o em alerta m√°ximo. Ao longo das √ļltimas duas semanas, as opera√ß√Ķes online de v√°rias grandes organiza√ß√Ķes financeiras - incluindo a JP Morgan Chase, Bank of America, Citigroup e Wells Fargo, foram interrompidas pelo que parecia ser ataques de nega√ß√£o de servi√ßo (DDoS).

Um grupo chamado "Cyber fighters of Izz ad-din Al qassam" reivindicou o crédito dos ataques, mas alguns especialistas em segurança acham que uma nação pode estar por trás da campanha por ser ataque de grande escala e organização.

Em meados de setembro, o Centro de An√°lises e Compartilhamento de Informa√ß√Ķes Financeiras (em ingl√™s, Financial Services Information Sharing and Analysis Center, ou apenas FS-ISAC) alertou bancos para que ficassem atentos a ciberatacantes, que procuram roubar credenciais de login da rede de funcion√°rios para realizar a transfer√™ncia fraudulenta.

Especificamente, o alerta disse aos bancos que atentassem para crackers usando spam, e-mails phishing, Trojans de acesso remoto e keyloggers para tentar coletar os dados. A FS-ISAC também observou que o FBI identificou uma nova tendência em que os criminosos cibernéticos utilizam credenciais roubadas de funcionários do banco para transferir centenas de milhares de dólares de contas de clientes para locais no exterior.

Ao longo dos √ļltimos anos, cibercriminosos desviaram milh√Ķes de d√≥lares de pequenas empresas, escolas e governos locais por meio de roubo de credenciais de usu√°rios autorizados. A √ļltima discuss√£o sugere que eles agora t√™m contas individuais na mira, disse Ahuvia, alertando que a quadrilha planeja tentar se infiltrar em computadores com um malware conhecido por "Gozi Prinimalka".

O Cavalo de Troia seria uma vers√£o atualizada de um Trojan banc√°rio muito mais velho, chamado "Gozi", que foi utilizado por crackers para roubar milh√Ķes de d√≥lares de bancos dos EUA. O plano do grupo, aparentemente, √© plantar o software em in√ļmeros sites, a fim de infectar computadores quando os usu√°rios os visitarem.

O v√≠rus √© acionado quando o usu√°rio de um computador comprometido digita certas palavras - como o nome de um banco espec√≠fico - em uma seq√ľ√™ncia de URL.

Ao contr√°rio do Gozi original, a nova vers√£o √© capaz n√£o s√≥ de se comunicar com um servidor de comando e controle central, mas tamb√©m de duplicar as configura√ß√Ķes do PC da v√≠tima. O cavalo de Tr√≥ia essencialmente suporta um recurso de clonagem de m√°quina virtual que pode duplicar resolu√ß√Ķes da tela da m√°quina infectada, cookies, fuso hor√°rio, tipo de navegador e vers√£o e outras configura√ß√Ķes. Isso permite que o invasor acesse o site do banco da v√≠tima usando um computador que parece ter o endere√ßo de IP real do PC infectado, disse Ahuvia.

"Imita√ß√Ķes de contas v√≠timas poder√£o ser acessadas por meio de uma conex√£o proxy SOCKS instalada nas m√°quinas comprometidas, permitindo que o sistema virtual clonado assuma o endere√ßo real de IP ao acessar o site do banco", disse a especialista no comunicado.

V√≠timas de transfer√™ncias banc√°rias fraudulentas n√£o saber√£o imediatamente do roubo, porque a gangue planeja usar softwares de VoIP para evitar uma explos√£o de notifica√ß√Ķes banc√°rias via dispositivos m√≥veis. Os consumidores precisam garantir que seus navegadores est√£o devidamente atualizados para se proteger contra ataques drive-by download, recomendou Ahuvia. Eles tamb√©m precisam prestar aten√ß√£o para qualquer comportamento suspeito ou transa√ß√Ķes em suas contas.

A RSA tamb√©m notificou institui√ß√Ķes do governo americano e a pr√≥pria Rede Global de Bloqueio FraudAction sobre a amea√ßa. Os bancos, por sua vez, devem considerar a implementa√ß√£o de procedimentos de autentica√ß√£o mais fortes e ferramentas de detec√ß√£o de anomalias para identificar transfer√™ncias eletr√īnicas incomuns.

Fonte: IDG Now