Kaspersky Lab Press release Trojan Bancário

COMUNICADO
Trojans ameaçam banca online, desta vez pela mão do Trojanbanker.win32.bifitAgent
O uso de um token USB numa transacção não representa qualquer obstáculo para
os cibercriminosos, já que o token assina a transacção depois de os dados terem
sido falseados
Os cibercriminosos obtêm acesso a equipamentos integrados em redes zombi que
usam sistemas bancários BIFIT e instalam o Trojan-banker.win32.bifitAgent
Lisboa, 22 de Maio de 2013.- Os programas maliciosos que roubam dados confidenciais para
entrar nos sistemas bancários online provocam dores de cabeça às organizações financeiras de
todo mundo há já algum tempo. Desta vez, estamos a falar de um programa que modifica o
montante e o destinatário das transacções legítimas de banca online sem o conhecimento da
vítima.
Há um ano, a Kaspersky Lab descrevia a fórmula utilizada pelo primeiro programa malicioso
desenhado para atacar os utilizadores de um software para banca online desenvolvido pela
companhia BIFIT. Mas hoje continuam a existir vários programas maliciosos com a mesma
funcionalidade, entre eles:
TROJAN-BANKER.WIN32.IBank
Trojan-banker.win32.oris
Trojan-banker.win32.bifiBank
Trojan-banker.win32.bifitAgent
Este último programa malicioso tem várias características técnicas que o distinguem dos seus
semelhantes, já que executa dois módulos principais no equipamento capturado: um ficheiro
executável e um ficheiro comprimido JAVA. Enquanto se instala, cria uma pasta para a qual são
copiados os seguintes ficheiros:
Página 1
 AGENT.EXE v, o principal módulo executável responsável pelas comunicações com o
servidor de comando. Este módulo é capaz de se auto-actualizar, gerir processos, executar
comandos através de Cmd.exe, e descarregar e executar qualquer ficheiro, sempre
obedecendo os comandos procedentes do servidor de comando.
 ALL.POLICY v, um ficheiro de configuração JAVA que elimina qualquer restrição de
segurança relacionada com JAVA.
 BIFIT_A.CFG v, o ficheiro de configuração dos programas maliciosos que inclui o número
de identificação dos sistemas infectados e os endereços dos servidores de comando.
 BIFIT_AGENT.JAR v, um ficheiro comprimido JAVA que contém o código para interagir com
os sistemas da BIFIT.
 JAVASSIST.JAR v, um ficheiro comprimido JAVA que inclui as funções adicionais que
requer BIFIT_AGENT.JAR.
O principal módulo executável, responsável pela comunicação com o servidor de comando,
funciona de forma simultânea com os ficheiros maliciosos JAR. Isto permite aos cibercriminosos
modificar de forma instantânea qualquer código que seja executado em JAVA, em particular
enquanto se realizam as transacções bancárias.
O código de BIFIT_AGENT.JAR está altamente ocultado, dificultando ainda mais a análise dos
ficheiros que interagem com estes sistemas. Não obstante, é possível reconstruir acções do
programa malicioso já que este possui amplas capacidades relacionadas com o registo das suas
próprias acções.
A análise da funcionalidade incluída no BIFIT_AGENT.JAR demonstra que a principal função dos
ficheiros JAR é falsificar os dados utilizados nas transacções bancárias realizadas a partir dos
equipamentos infectados. E tudo isto passa despercebido ao utilizador, já que os dados falsificados
são os que são enviados para o banco, não os que são visualizados pelo utilizador. O uso de um
token USB na transacção não representa qualquer obstáculo para os atacantes, já que a
transacção só é assinada após a falsificação dos dados.
Uma das características particulares do Trojan-banker.win32.bifitAgent é que inclui uma
assinatura digital. Em Abril, a lista de programas maliciosos da Kaspersky Lab incluía cerca de 10
variantes do programa malicioso, todas com uma assinatura válida emitida por Accurate CNC.
Página 2
Foram detectadas instalações do Trojan-banker.win32.bifitAgent em equipamentos que fazem
parte de redes zombi criadas por programas maliciosos como TROJAN.WIN32.DNSChanger,
Backdoor.win32.shiz, Virus.win32.sality, etc. Mas não foi detectada qualquer propagação através
de exploits. Pela distribuição de infecções podemos deduzir que os cibercriminosos obtêm
acesso a equipamentos pertencentes a redes zombi nos quais detectam sistemas bancários
BIFIT e procedem à instalação do Trojan-banker.win32.bifitAgent.
Os utilizadores devem certificar-se de que só acedem pessoas de confiança ao seu computador e
utilizar ou actualizar só aplicações de fontes seguras que garantam que não estão infectadas.
Recomenda-se a utilização de programas de segurança actualizados, como soluções antivírus,
firewall pessoais, produtos que protejam contra o acesso não autorizado, etc. Além disso, se o
utilizador receber uma mensagem de erro quando estiver a ligar-se ao servidor do seu banco, deve
contactar de imediato a sua entidade bancária, averiguar se os seus servidores estão a funcionar
normalmente e comprovar quando foi realizada a última transacção.
Se necessitar de mais informação, pode aceder à nossa sala de imprensa online, o Kaspersky Lab Newsroom Portugal
(http://newsroom.kaspersky.eu/pt/), disponível para todos os jornalistas. A sala de imprensa está desenhada
explicitamente para facilitar aos jornalistas a localização de informação de produto e corporativa, notícias e dados,
artigos, imagens, vídeos e ficheiros de áudio.
Kaspersky Lab
A Kaspersky Lab é o maior fabricante privado do mundo de soluções de protecção endpoint. A companhia
encontra-se entre os quatro maiores fabricantes do mundo de soluções endpoint*. Ao longo dos seus mais de
15 anos de história, a Kaspersky Lab tem sido sempre uma referência de inovação em segurança TI e
oferece soluções eficazes para grandes empresas, PMEs e consumidores. A Kaspersky Lab, cuja companhia
proprietária se encontra registada no Reino Unido, opera hoje em mais de 200 países e territórios em todo o
mundo, proporcionando protecção a mais de 300 milhões de utilizadores. Saiba mais em www.kaspersky.pt.
* A empresa foi classificada na quarta posição no ranking da IDC “Worldwide Endpoint Security Revenue by
Vendor, 2011”. Esta classificação foi publicada no relatório da IDC "Worldwide Endpoint Security 2012–2016
Forecast and 2011 Vendor Shares (IDC #235930, July 2012)”. O ranking lista os fabricantes de software de
acordo com as suas receitas provenientes da venda de soluções de segurança endpoint em 2011.
Para mais informações, contacte:
LANÇA PALAVRA
Ana Margarida Paula
Tel. +351 962543653
Fax +351 243372981
Email [email protected]
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
Email [email protected]
Página 3
©
2013 Kaspersky Lab. A informação contida pode ser sujeita a mudanças sem aviso prévio. As únicas garantias dos produtos e serviços
da Kaspersky Lab estão definidas de agora em diante nas declarações de garantia expressa que acompanham estes produtos e
serviços. Nada do que aqui se expressa pode ser interpretado como garantia adicional. A Kaspersky Lab não se responsabiliza por erros
técnicos ou editoriais ou omissões cometidos no texto.
Página 4