A ESET descobriu um novo malware, chamado Zumanek, que mira brasileiros para roubar credenciais bancárias. O vírus ainda não está espalhado de maneira massiva, ficando fora dos top 10 detectados pela ESET, mas ele demonstra "os planos futuros do cibercrime brasileiro, que está focado em bancos e criptomoedas", nota a empresa.
Para Devs: uso de caminhos absolutos para as chamadas LoadLibrary, CreateProcess e ShellExecute
Os cibercriminosos por trás do Zumanek utilizam engenharia social para convencer a vítima a realizar o download de um arquivo malicioso. A engenharia social é realizada após a obtenção de dados sensíveis — principalmente aqueles vazados de inúmeros sites por aí.
"Assim como a grande maioria dos malwares em atividade, sua cadeia de ataque é subdividida em diferentes estágios. O objetivo disso é fazer com que seja possível manter estágios do ataque desconhecidos o máximo possível, evitando efetuá-los em máquinas que não cumprem algum perfil desejado", notou a ESET.
Primeiro estágio: o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final e, por fim, executá-lo na máquina comprometida
Segundo estágio: trata-se de um banker/RAT, cuja finalidade é prover ao atacante o controle remoto à máquina da vítima, enfocando no roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda. A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa que é carregada pelo executável, executando, na sequência, o arquivo legítimo
Proteção
A ESET ainda nota que os usuários, como medida de proteção, ainda podem controlar a ordem de busca de DLLS por meio do registro CWDIllegalInDllSearch. "Já para as versões de Windows a partir do Windows Server 2012 (servidores) e Windows 8.1 (PCs), esse registro já está disponível sem necessidade da instalação do KB2264107", nota a empresa.
Fontes
Categorias