Foi descoberto um novo e eficaz troiano bancário que tem como alvo principal os utilizadores que acedem à sua conta bancária através da Internet, na Turquia, República Checa, Portugal e Reino Unido. Aposta sobretudo na utilização de uma imagem cuidada e alusiva às instituições bancárias para convencer as vítimas a executarem o malware.

Para uma análise técnica aos binários do Hesperbot, veja o nosso segundo artigo

A história

No mês passado descobrimos uma campanha de malware que se estava a espalhar rapidamente na República Checa. As primeiras investigações despertaram algum interesse, especialmente por este malware estar alojado num domínio que aparentemente pertencia ao serviço de Correios da República Checa.

Analisando a fundo esta ameaça, descobriu-se que estávamos a lidar com um troiano bancário que tinha funcionalidades semelhantes aos populares Zeus e SpyEye. Porém a utilização de métodos de implementação diferentes, revelou que estávamos presentes perante uma nova família de malware e não se tratava de uma variante destes troianos.

Apesar de ser um recém-chegado, o Win32/Spy.Hesperbot é um troiano muito avançado e eficaz que tem as funcionalidades mais comuns, como gravar tudo o que é digitado no teclado, criação de capturas de ecrã e vídeo e a configuração de uma proxy, mas também algumas características mais avançadas, como a criação de um servidor VNC à revelia o utilizador no sistema infectado. Claro que esta lista, tratando-se de um troiano bancário, não estaria completa sem as funcionalidades de intercepção de tráfego e também a injecção de HTML. O Win32/Spy.Hesperbot faz tudo isto de uma forma extremamente sofisticada.

Quando comparámos a amostra recolhida na República Checa com outro malware de que dispomos no nosso laboratório, descobrimos que já havíamos detectado anteriormente uma variante que era conhecida por Win32/Agent.UXO. As nossas investigações detectaram ainda que os bancos na República Checa não eram os únicos na mira desta ameaça, mas também que as instituições bancárias na Turquia e em Portugal eram visadas.

Resumidamente, o objectivo dos cibercriminosos é obterem as credenciais que dão acesso à conta bancária da vítima levando-os a instalarem aplicações maliciosas nos seus dispositivos móveis Android, Symbian ou Blackberry.

A cronologia da campanha de malware

Esta campanha de malware que teve início na República Checa revelou-se pela primeira vez no dia 8 de Agosto de 2013, sendo que um dia antes foi registado o domínio www.ceskaposta.net, muito semelhante ao domínio oficial do serviço de correios nesse país, www.ceskaposta.cz.

1

2

Se o domínio foi então registado no dia 7, os primeiros binários do Hasperbot foram compilados no dia 8, tendo sido detectados alguns minutos depois pelo sistema de telemetria da ESET, LiveGrid®.

Na República Checa era utilizado um ficheiro com o nome zasilka.pdf.exe que significa correio em português. A ligação que vinha no e-mail e que servia de ponto de partida para o espalhar da infecção parecia apontar para o site www.ceskaposta.cz, sendo que na realidade estava ligado ao endereço www.ceskaposta.net.

3

Apesar da campanha na República Checa ter sido aquela que despertou a nossa atenção, o país mais afectado por este troiano foi a Turquia, sendo que existem variantes detectadas antes do dia 8 de agosto.

Picos recentes na actividade da botnet foram observados na Turquia em Julho de 2013, sendo que encontrámos também outras variantes mais antigas que vão até Abril de 2013.

As campanhas de malware utilizadas na Turquia são muito semelhantes à que decorreu na República Checa. O email de phishing enviado às potencias vítimas fazia-se passar por uma factura da TTNET (o maior ISP da Turquia) e continha também um ficheiro malicioso com extensão dupla ou seja .PDF.EXE.

Mais tarde na nossa investigação descobrimos que os cibercriminosos apontaram a mira a Portugal. À semelhança do que acontece com a Turquia, o e-mail vem disfarçado como uma conta enviada pela Portugal Telecom.

Foi também detectada uma variante no Reino Unido embora não existem ainda detalhes muito concrectos.

No decorrer da nossa investigação, encontrámos também alguns componentes adicionais utilizados pelo Win32/Spy.Hesperbot. Este malware detectado pela ESET como Win32/Spy.Agent.OEC, colecciona endereços de email presentes nos sistemas infectados e envia-os para um servidor remoto. É possível que estes endereços de email seja usados à posteriori para receberem estes esquemas de phishing.

Bancos na mira e vítimas

A configuração dos ficheiros utilizados pelo malware e o módulo de injecção revelam quais os bancos online na mira dos cibercriminosos.

República Checa

4

Turquia

5

Portugal

6

No caso das botnets alusivas à Turquia e a Portugal os ficheiros de configuração contêm código HTML malicioso que é inserido nas páginas oficiais das instituições bancárias quando elas são visitadas a partir de uma máquina infectada. Isto não se verificava na campanha que estava a decorrer na República Checa.

7_santandertotta_injected

De acordo com o sistema de telemetria da ESET, LiveGrid®, dezenas de pessoas já se encontram infectadas na República Checa e em Portugal e largas centenas na Turquia. As estatísticas de detecção por país, encontram-se disponíveis na imagem presente abaixo.

8

Comentários

    1. Caro Tomás Santos. Se pretender podemos avaliar se está relacionado com o Hesperbot ou não. Consegue enviar-nos o email para analisarmos? Pode enviar para “samples @ whitehat.pt” por favor.

  1. Qual é a maneira mais simples de detectar se ele está ou não presente? Tb recebi esse emal do ctt-expresso, que inicialmente me enganou, mas depois eliminei-o..

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*