Um novo vírus bancário tem atacado os clientes corporativos de instituições financeiras do Brasil. CamuBot, como é chamado o malware, se camufla como um módulo de segurança requerido pelo banco alvo do ataque e engana a vítima para roubar suas credenciais bancárias.
A primeira atividade do malware foi detectada no mês passado e a divulgação foi feita por pesquisadores do IBM X-Force na última terça-feira (4). Desde então, os criminosos têm dirigido ataques tanto a empresas privadas quanto a organizações públicas. Ao contrário da maioria dos trojans bancários, o CamuBot não se esconde no sistema. O vírus, além de usar o logotipo do banco, possui a mesma aparência de um internet banking, levando a vítima a crer que está instalando um aplicativo oficial.
LEIA: Game mais jogado no mundo é usado para espalhar vírus
Vírus CamuBot usa esquema sofisticado para roubar dados bancários no Brasil (Foto: Pond5)
Segundo os investigadores, o CamuBot é muito mais sofisticado que os malwares usados em esquemas de fraude no país até então. “Em vez de simples telas falsas e uma ferramenta de acesso remoto, as táticas do CamuBot se assemelham àquelas usadas por malwares fabricados na Europa Oriental, como TrickBot, Dridex ou QakBot”, explicam os especialistas em um post no site da IBM.
Entenda como funciona o ataque
O golpe envolve ferramentas de engenharia social bastante c
... omplexas. Inicialmente, os operadores do CamuBot identificam, por meio de uma pesquisa básica, empresas que façam negócios com a instituição bancária alvejada. Em seguida, ligam para a pessoa que provavelmente teria as credenciais da conta bancária da empresa.
Passando-se por funcionários do banco, os criminosos induzem a vítima a visitar um site falso para verificar se o módulo de segurança está atualizado. Como parte da armadilha, a verificação de validade aparece negativa, e os operadores do vírus indicam o download e instalação de um “novo” módulo para resolver o problema.
Disfarçado de módulo de segurança, o CamuBot exige privilégios de administrador como pré-requisito para instalação (Foto: Divulgação/IBM X-Force)
O CamuBot é executado no computador da vítima logo que a instalação começa, por trás da interface do aplicativo falso. Para driblar antivírus e firewalls e parecer seguro, o malware, que possui privilégios de administrador, adiciona a si mesmo à lista de programas aprovados. Além disso, o nome do arquivo baixado e a URL do site mudam a cada ataque.
Após a instalação, o usuário é redirecionado para um site de phishing que se parece com um portal de internet banking. O ataque se completa quando a vítima faz login em sua conta bancária, entregando, sem saber, suas credenciais ao invasor.
Enquanto a instalação do módulo de segurança falso é concluída, o vírus se aloja no computador da vítima (Foto: Divulgação/IBM X-Force)
Outro diferencial preocupante do CamuBot é a sua possibilidade de driblar autenticações biométricas, recurso de proteção considerado confiável. De acordo com o IBM X-Force, o vírus é capaz de buscar e instalar drivers para dispositivos de autenticação em duas etapas, levando as vítimas a ativarem o acesso remoto. Isso permite que o invasor intercepte senhas de uso único e realize transações fraudulentas sem levantar desconfiança do banco.
Recomendações
Atualmente, o CamuBot tem como alvo os correntistas de empresas no Brasil. Como o ataque é difundido por telefone, suspeite de ligações e peça ao suposto autor da chamada do banco para ligar de volta. Em seguida, ligue para o seu banco com o número que você tem no seu cartão e informe-o sobre o telefonema não solicitado.
Até o momento, os investigadores do IBM X-Force não detectaram ataques do CamuBot fora do país, mas alertam que isso pode mudar.
