Muitos dos desenvolvimentos no mundo
da computação envolvem a automação de tarefas cotidianas, que por
um lado facilitam a vida das pessoas, e por causam alguma
depndência. Paralelamente, cyber criminosos continuamente empregam
essas inovações em esquemas maliciosos com um único objetivo em
mente - o lucro.
O próprio lucro é motivação
suficiente para hackers mal-intencionados constantemente buscarem a
inovação em ataques à tecnologia de segurança. Eles pesquisam,
exploram e desenvolvem programas maliciosos que chamamos de
"malware". Apesar de continuamente melhorados, seja para apresentar
maior resistência a soluções antivírus ou para aumentar a
eficiência na injeção de código, as tendências no desenvolvimento
de ameaças apontam para uma só direção - automatização do uso de
hacks.
O Velho Hackeamento Manual
Nos primórdios do hacking,
tudo tinha que ser feito manualmente. Hackers tinham que verificar
manualmente os computadores à procura de vulnerabilidades ou abrir
portas para hackear máquinas. Depois de invadir o sistema, os
hackers manualmente executavam suas ações dependendo de suas
intenções.
Atualmente, várias ferramentas como
varredores de vulnerabilidades e portas estão disponíveis na
Internet. Aplicações backdoor podem manipular remotamente os
sistemas comprometidos e worms automatizam a proliferação
de malware através de autoreplicação. Até mesmo a geração de
arquivos maliciosos pode ser automatizada com a ajuda de kits de
ferramentas maliciosos.
Roubo Financeiro e de Informação
Dados os atuais avanços de malware,
podemos imaginar que em breve os cyber criminosos simplesmente
espalharão o malware pela Internet e assistir à TV enquanto esperam
o dinheiro roubado ser depositado em suas contas (se é que isso já
não está acontecendo). Foi isso que vimos materializado em TSPY_BANKER.PHT.
TSPY_BANKER.PHT é um Trojan para
bancos que almeja exclusivamente usuários do Banco do Brasil. Ao
roubar informações da conta do usuário, este malware
automaticamente tenta transferir dinheiro para uma conta
predeterminada. Esta característica é similar à funcionalidade do
ZeuS e SpyEye conhecida como sistema de
transferência automática (auto-transfer system, ATS).
Abaixo um fragmento do código do TSPY_BANKER.PHT:
|
|
Os números de conta e titular
programados estão destacados na imagem acima (as informações foram
borradas) e a quantia em dinheiro (em Reais) que o malware tenta
transferir através da Transferência Eletrônica Disponível (TED),
modalidade para a utilizada para a transferência bancária de
valores acima de R$ 3.000,00. De acordo com o pesquisador de
ameaças senior da Trend Mciro, Ranieri Riomera, "cyber criminosos
podem ter utilizado o TED devido à quantia envolvida. Além disso,
usuários de TED não podem cancelar a transação depois de
confirmada. No entanto, boa parte das pessoas não mantém tanto
dinheiro na conta, então o malware fica um pouco menos eficiente do
que poderia, apesar de causar muitos danos a suas vítimas."
Esta ameaça deve ser acompanhada com
cautela, pois além de roubar informação do usuário pode levar a
perdas financeiras imediatas. O ATS precisa se comunicar com uM
servidor C&C antes de transferir dinheiro, enquanto que o
TSPY_BANKER.PHT faz isso automaticamente.
Enquanto cada vez mais atividades
maliciosas são automatizadas com o uso de malware, parece que
existirão desafios ainda maiores no futuro para a indústria da
segurança. O ataque atualmente consideramos ataques altamente
direcionados podem um dia ser causados por códigos operando de
forma independente para seus criadores maliciosos.