Mercado fechado

Malware bancário com mais de 14 anos de idade volta a fazer vítimas

Felipe Demartini

Um malware bancário com 14 anos de atividade registrada voltou a fazer vítimas em pelo menos cinco países. O ZLoader apareceu em mais de 100 campanhas de ataques contra clientes de bancos dos EUA, Canadá, Polônia, Austrália e Alemanha neste começo de ano, sempre buscando credenciais de acesso a contas ou a instalação de aplicações de acesso remoto para realizar transações a partir dos dispositivos das vítimas.

O alerta sobre o ressurgimento do ZLoader foi feito pela empresa de segurança Proofpoint. A praga, uma variação do malware bancário Zeus que vem sendo usado desde 2006, reaparece com diferentes mecanismos de ocultação de suas atividades como forma de compensar a idade — códigos que não servem para nada, linhas criptografadas e manipulação de outras funções do Windows, bem como o acesso por diferentes servidores de controle, estão entre os métodos utilizados pelos criminosos para escapar de detecção por softwares antivírus.

Uma vez instalado e funcionando, porém, a praga realiza suas atividades de duas maneiras principais, utilizando web injects para roubar credenciais bancárias e informações sensíveis de navegadores ou instalando um sistema de acesso remoto. No segundo caso, a ideia é burlar verificações de segurança dos bancos fazendo transações como transferências e pagamentos a partir de dispositivos que tenham sido autorizados pelos próprios clientes.

Seguindo a tônica do momento, a praga chega disfarçada em e-mails que prometem novas informações sobre a pandemia do coronavírus, bem como dados de pesquisas sobre tratamentos e eventuais curas para a doença. Anexos, estão desde arquivos de Word ou Excel, com macros que baixam e executam o malware, até arquivos compactados que trazem o ZLoader em seu interior. Em todos os casos, a infeção depende de o usuário rodar tais soluções.

Notas de cobrança ou pagamento e documentos do pacote Office com macros são os vetores usados pelos hackers em campanhas do ZLoader, que têm como alvo os dados bancários dos usuários (Imagem: Reprodução/Proofpoint)

Além disso, criadores de conteúdo e influenciadores também estariam sendo alvo, apesar de as campanhas não serem direcionadas a esse segmento. E-mails contendo supostas notas fiscais de trabalhos realizados ou pagamentos pendentes também estão entre os métodos usados pelos hackers para infecção, assim como, ironicamente, e-mails com dicas para que os usuários não caiam em golpes relacionados ao novo coronavírus.

Além de representar um ressurgimento do próprio Zeus, o ressurgimento da praga também representa um retorno do próprio ZLoader, que foi amplamente utilizado em campanhas de infecção há dois anos. Entre 2016 e 2018, o malware bancário chegou a ser bastante utilizado, antes de cair em desuso e retornar agora, com novas capacidades de ofuscação, mas basicamente o mesmo tipo de funcionamento uma vez instalado pela vítima.

Para se proteger, o ideal é evitar abrir arquivos e documentos que venham em anexos de e-mail ou aplicativos de mensagens instantâneas, mesmo que eles cheguem por fontes legítimas. Na dúvida, confirme com o contato se aquele envio efetivamente aconteceu e, em caso de cobranças de empresas ou notificações bancárias, entre em contato com a própria instituição responsável, a partir de canais de atendimento, para confirmar a veracidade das informações.

Além disso, vale a pena manter softwares de segurança e antivírus sempre instalados e atualizados no computador e celular, já que eles ajudam a identificar variantes antigas de malwares ou tentativas de intrusão. Caso detecte algo de errado, interrompa a utilização do aparelho possivelmente comprometido e busque ajuda técnica para limpar o dispositivo, um processo que, normalmente, envolve uma formatação completa.


Fonte: Canaltech