Uma quadrilha internacional de cibercriminosos está planejando uma grande campanha para roubar dinheiro de contas online de milhares de consumidores em 30 – ou mais – grandes bancos dos EUA, advertiu a empresa de segurança RSA.
A companhia disse ter informações que indicam que a quadrilha planeja liberar um Trojan pouco conhecido para se infiltrar em computadores pertencentes aos clientes e usar as máquinas sequestradas para iniciar transferências bancárias fraudulentas de suas contas.
Se bem sucedido, a ação pode se tornar uma das maiores operações de Cavalos de Troia organizadas até agora, segundo afirmações da especialista em crimes cibernéticos da equipe FraudAction, Mor Ahuvia, da RSA. O grupo criminoso estaria recrutando cerca de 100 botmasters (gerenciadores de redes de micros zumbis, as botnets), cada um sendo responsável por ataques contra clientes de bancos norte-americanos em troca de uma parte do saque, como recompensa.
Cada botmaster será apoiado por um “investidor”, que fornecerá o dinheiro necessário para a compra do hardware e software utilizados na ação. “Esta é a primeira vez que estamos vendo uma operação de crime cibernético com motivação financeira sendo orquestrada a esta escala”, disse Ahivia. “Nós temos visto ataques DDoS e hacking antes. Mas nunca o vi sendo organizado de forma tão grandiosa.”
A advertência da RSA foi dada em um momento em que os bancos dos EUA já estão em alerta máximo. Ao longo das últimas duas semanas, as operações online de várias grandes organizações financeiras – incluindo a JP Morgan Chase, Bank of America, Citigroup e Wells Fargo, foram interrompidas pelo que parecia ser ataques de negação de serviço (DDoS).
Um grupo chamado “Cyber fighters of Izz ad-din Al qassam” reivindicou o crédito dos ataques, mas alguns especialistas em segurança acham que uma nação pode estar por trás da campanha por ser ataque de grande escala e organização.
Em meados de setembro, o Centro de Análises e Compartilhamento de Informações Financeiras (em inglês, Financial Services Information Sharing and Analysis Center, ou apenas FS-ISAC) alertou bancos para que ficassem atentos a ciberatacantes, que procuram roubar credenciais de login da rede de funcionários para realizar a transferência fraudulenta.
Especificamente, o alerta disse aos bancos que atentassem para crackers usando spam, e-mails phishing, Trojans de acesso remoto e keyloggers para tentar coletar os dados. A FS-ISAC também observou que o FBI identificou uma nova tendência em que os criminosos cibernéticos utilizam credenciais roubadas de funcionários do banco para transferir centenas de milhares de dólares de contas de clientes para locais no exterior.
Ao longo dos últimos anos, cibercriminosos desviaram milhões de dólares de pequenas empresas, escolas e governos locais por meio de roubo de credenciais de usuários autorizados. A última discussão sugere que eles agora têm contas individuais na mira, disse Ahuvia, alertando que a quadrilha planeja tentar se infiltrar em computadores com um malware conhecido por “Gozi Prinimalka”.
O Cavalo de Troia seria uma versão atualizada de um Trojan bancário muito mais velho, chamado “Gozi”, que foi utilizado por crackers para roubar milhões de dólares de bancos dos EUA. O plano do grupo, aparentemente, é plantar o software em inúmeros sites, a fim de infectar computadores quando os usuários os visitarem.
O vírus é acionado quando o usuário de um computador comprometido digita certas palavras – como o nome de um banco específico – em uma seqüência de URL.
Ao contrário do Gozi original, a nova versão é capaz não só de se comunicar com um servidor de comando e controle central, mas também de duplicar as configurações do PC da vítima. O cavalo de Tróia essencialmente suporta um recurso de clonagem de máquina virtual que pode duplicar resoluções da tela da máquina infectada, cookies, fuso horário, tipo de navegador e versão e outras configurações. Isso permite que o invasor acesse o site do banco da vítima usando um computador que parece ter o endereço de IP real do PC infectado, disse Ahuvia.
“Imitações de contas vítimas poderão ser acessadas por meio de uma conexão proxy SOCKS instalada nas máquinas comprometidas, permitindo que o sistema virtual clonado assuma o endereço real de IP ao acessar o site do banco”, disse a especialista no comunicado.
Vítimas de transferências bancárias fraudulentas não saberão imediatamente do roubo, porque a gangue planeja usar softwares de VoIP para evitar uma explosão de notificações bancárias via dispositivos móveis. Os consumidores precisam garantir que seus navegadores estão devidamente atualizados para se proteger contra ataques drive-by download, recomendou Ahuvia. Eles também precisam prestar atenção para qualquer comportamento suspeito ou transações em suas contas.
A RSA também notificou instituições do governo americano e a própria Rede Global de Bloqueio FraudAction sobre a ameaça. Os bancos, por sua vez, devem considerar a implementação de procedimentos de autenticação mais fortes e ferramentas de detecção de anomalias para identificar transferências eletrônicas incomuns.
Jaikumar Vijayan, Computerworld / EUA
