Compartilhe:

Especialistas em cyber security descobriram uma nova e sofisticada forma de malware, baseada no conhecido trojan bancário Zeus, que rouba mais do que apenas informações bancárias.

Terdot, é um trojan bancário em operação desde meados de 2016 e inicialmente projetado para funcionar como um proxy em ataques Man in the Middle (Homem no meio), roubar informações de navegação, tais como informações de cartões de cartão de crédito armazenadas e credenciais de login, bem como realizar a injeção de código HTML nas páginas web visitadas.

A novidade aqui é que especialistas da Bitdefender descobriram que este trojan agora possui novas capacidades de espionagem, como fazer uso de ferramentas open source para falsificar certificados SSL com a finalidade de obter acesso as contas de e-mail, redes sociais e até mesmo publicar em nome da vítima.

Como o trojan funciona?

Ele consegue esta façanha utilizando um proxy Man in the Middle personalizado que permite que o malware intercepte qualquer tráfego em um computador infectado.

Além disso, a nova variante do Terdot adicionou recursos de atualização automática que permitem que o malware realize o download e execute arquivos conforme solicitado pelo atacante.

Este Trojan pode roubar suas credenciais do Facebook, Twitter e Gmail

Inicialmente, o Terdot visava sites bancários de inúmeras instituições canadenses, como o Royal Bank, o Banque Nationale, o PCFinancial, o Desjardins, o BMO (Banco de Montreal), a Scotiabank, entre outros.

No entanto, de acordo com a análise mais recente, o trojan também está segmentando seus ataques contra usuários que possuem contas em redes sociais, como o Facebook, Twitter, Google Plus e YouTube, e em serviços de e-mail, incluindo o Gmail do Google, o Live.com da Microsoft e o Yahoo Mail.

Curiosamente, o malware evita coletar dados relacionados à rede social mais conhecida da Rússia, a VKontakte (vk.com), observou a Bitdefender. Isso leva a crer que os autores por trás da nova variante podem estar localizados na Europa Ocidental.

Como ocorre a infecção?

O trojan bancário está sendo distribuído principalmente através de sites comprometidos com o SunDown Exploit Kit. Mas os pesquisadores também observaram que ele chegava em um email mal-intencionado contendo um botão de ícone de PDF falso.

Quando a vítima clica no botão, é executado um código JavaScript oculto que faz o download e executa o malware. Com o objetivo de evitar uma possível detecção, o trojan utiliza uma cadeia complexa de droppers, injeções e downloaders que realizam o download do Terdrot em partes.

Uma vez instalado no sistema da vítima, o trojan se injeta no processo do navegador para direcionar as conexões para um proxy próprio da web, ler o tráfego e injetar spyware. Ele também coleta informações de autenticação inspecionando as solicitações da vítima ou injetando código JavaScript malicioso nas respostas.

O Terdot poderá ignorar as restrições impostas pelo TLS (Transprt Layer Security) ao gerar sua própria Autoridade Certificadora (AC) e gerar certificados para cada domínio que a vítima visita.

O Terdot é um malware complexo, com base no legado do Zeus“, concluíu a Bitdefender. “Seu foco no roubo de credenciais de outros serviços, como redes sociais e serviços de e-mail, pode transformá-lo em uma ferramenta de ciberespionagem extremamente poderosa, que é difícil de detectar e remover“.

A Bitdefender vem acompanhando a nova variante do trojan Terdot desde que ressurgiu em outubro do ano passado. Você encontra mais detalhes sobre a nova ameaça, acessando este documento técnico (PDF) publicado pela empresa de segurança.

Fonte:

https://thehackernews.com/2017/11/facebook-twitter-hack.html

Maiores informações:

Trojans bancários: a maior ciberameaça mobile

Compartilhe: