Downloader Waski espalha troiano bancário que afecta utilizadores em todo o mundo

Se recebeu um email que não esperava com um ficheiro ZIP, pode ser uma ameaça que quer deitar a mão às suas credenciais bancárias. O nome é Waski e é detectado pela ESET como Win32/TrojanDownloader.Waski.

O Waski consiste num Trojan downloader, ou seja, num pequeno programa que descarrega malware adicional e que é executado à posteriori no computador. De acordo com estatísticas recentes, o Waski é uma das ameaças mais detectadas nos tempos recentes. Depois de alguns picos de infecção na Alemanha e Suiça, há algumas semanas atrás, observamos agora que a Austrália, Nova Zelândia, Irlanda, Inglaterra, Canadá e Estados Unidos, se encontram na lista de países infectados.

Waski1

Desde o início de 2015 que temos verificado um aumento crescente destas ameaças. Inclusivamente, o Waski está a ser cada vez mais usado pelos cibercriminosos para espalharem malware na Internet.

waski2

Tudo começa com um email aparentemente inofensivo. A potencial vítima recebe a ameaça sob a forma de um ficheiro ZIP em anexo, sendo que o assunto da mensagem está em inglês, bem como o conteúdo.

waski3

No caso acima, o email foi alegadamente enviado por uma empresa. O anexo contém dentro do ficheiro ZIP, um executável que quando corrido, descarrega malware a partir de um site pré-definido.

O Waski é muito usado para espalhar uma grande variedade de malware. O que investigámos de forma mais profunda, espalhava o troiano bancário Battdil, detectado pela ESET como Win32/Battdil ou Win64/Battdil.

O Waski tenta passar por um PDF pelo facto de utilizar o mesmo ícone comum a este tipo de documentos, sendo na realidade e como já referimos um ficheiro executável. Quando é activado, verifica o endereço IP da vítima, a versão do Windows e o número do Service Pack. Em seguida calcula um número de identificação único e envia-o para o servidor command-and-control (C&C). Posteriormente, o Waski descarrega um ficheiro encriptado, normalmente alojado num site comprometido e que se faz passar por um ficheiro PDF. Porém, é na realidade a junção de dois ficheiros: o malware e um ficheiro PDF normal. Para finalizar, Waski contacta o servidor de controlo e reporta que o processo de infecção foi concluído com sucesso.

waski4

O que faz o Battdil?

O Win32/Battdil consiste em duas partes, um injector e um payload. O injector possui um ficheiro executável e o payload um ficheiro DLL. Normalmente, a tarefa do injector é colocar o payload num processo do Windows. Feito isto, o payload do Win32/Battdil começa a funcionar e passa a ter a possibilidade de interceptar credenciais de entrada em bancos online, digitadas na grande maioria dos browsers, como Internet Explorer, Firefox, Chrome, etc.

Para além disso, os sites dos bancos podem ser manipulados para que a vítima não veja o site original, mas sim uma versão modificada. Assim, quando o utilizador visita o site, todas as informações extra, como dados do cartão matriz, pin do cartão de crédito e outros dados, são enviados para o cibercriminoso.

Conclusão

O Waski foi descoberto pela primeira vez no final de 2014 e tornou-se muito popular, uma vez que os cibercriminosos o usam para espalharem as suas ameaças na Europa e América do Norte. Por esse motivo, se está a receber emails com anexos de provenientes de desconhecidos não os abra e utilize uma solução se segurança para garantir a sua protecção. Lembre-se que o Waski é um Trojam Downloader utilizado para comprometer o seu sistema operativo com outras ameaças. Dito isto, os atacantes podem utilizar malware diferente para atingirem os utilizadores, sendo que o roubo de credenciais é apenas uma das coisas que poderão fazer ao computador.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

2 × 1 =