book_icon

Malware Zumanek rouba credenciais bancárias e tem o Brasil como foco

Segundo a ESET, que identificou a família de malwares Zumanek, trata-se de um RAT (Remote Access Trojan) com características de banker com foco no mercado financeiro nacional
Malware Zumanek rouba credenciais bancárias e tem o Brasil como foco

Há aproximadamente três meses a ESET, empresa especialista em detecção proativa de ameaças, detectou o Zumanek, uma nova família de malwares bancários que ataca quase que exclusivamente o Brasil. Seu nível de detecção ainda não o coloca no top 10 de spywares/bankers mais detectados no País, mas o vírus traz indícios dos planos futuros do cibercrime brasileiro, focado em bancos e criptomoeadas.

Um dos motivos que explicam as detecções serem no Brasil está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se entrada corresponder a ‘pt-br’

A ESET analisou uma amostra dessa família de malwares (versão 3.0) com o objetivo de entender seu funcionamento e verificar as precauções tomadas por seus desenvolvedores para evitar a detecção.

Para chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a pessoa a baixar e executar o primeiro estágio de infecção. Nesse primeiro estágio, o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final (parte do vírus que executa a ação nociva) e, por fim, executá-lo na máquina comprometida.

Um dos motivos que explicam as detecções serem (quase que) exclusivamente no Brasil está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se entrada corresponder a ‘pt-br’.

Outra verificação do malware é com relação à proteção da máquina. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes antivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado. Caso não haja antivírus, o malware prossegue com o download do payload final e sua execução na máquina da vítima.

Ao final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é verificado se os arquivos foram baixados e modificados corretamente. Se a verificação for positiva, o payload final é executado. Caso contrário, os arquivos são escondidos (FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.

Na sequência, chega-se ao segundo estágio, que tem como finalidade prover ao atacante o controle remoto à máquina da vítima para o roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda.

A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa (biblioteca dinâmica de dados para execução de tarefas) que é carregada pelo executável, executando, na sequência, o arquivo legítimo.

Após a execução dos arquivos, o Zumanek pode enviar diversos comandos à máquina da vítima. Além disso, o operador pode também visualizar a tela do usuário a partir dos dados enviados. Isso significa que os dados bancários da vítima se tornam completamente expostos e, consequentemente, vulneráveis.

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

“Como vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento, principalmente quando utilizamos as facilidades trazidas pelas plataformas bancárias online e, agora, pelas criptomoedas”, finaliza Camillo Di Jorge, Country Manager da ESET no Brasil.

Brasil

cibercrime

criptomoedas

ESET

Financeiro

malware

segurança

Últimas Notícias
Você também pode gostar
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | TECNOLOGIA

5G impõe seu ritmo

Leia nessa edição sobre carreira

MERCADO

Brincadeira de gente grande

Leia nessa edição sobre setorial | saúde

GESTÃO

Backup: a última linha de defesa

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

NEGÓCIOS

Terceirização de equipamentos

Maio 2022 | #57 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento