Devido a ser uma informação específica e que pormenoriza o ataque, façam o favor de ler o comunicado de imprensa da ESET.
A equipa de investigação da ESET descobriu uma perigosa ameaça que consiste num troiano bancário que se destina especificamente a atacar os utilizadores que acedem ao banco através da Internet na Europa e na Ásia. Portugal é um dos países onde a ameaça já foi detectada, sendo que utilizando um aspecto gráfico muito credível este malware consegue levar as vítimas a executarem as aplicações que contêm código malicioso.
São várias as vítimas desta fraude até ao momento por toda a Europa, sendo que de acordo com as informações disponíveis no sistema de telemetria da ESET, já foram detectadas dezenas de infecções em Portugal e também na República Checa e Reino Unido. Até ao momento a Turquia é o país que regista maior número de incidências, com centenas de infecções detectadas.
Esta ameaça muito eficaz e sofisticada foi denominada de Hesperbot e está a espalhar-se fundamentalmente por e-mail, infectando dispositivos móveis baseados em Android, Symbian e Blackberry.
Com o nome de código Win32/Spy.Hesperbot, esta ameaça tem capacidades de keylogger, pode criar capturas de ecrã e vídeo, configurar uma proxy remota e inclui ainda outras funcionalidades avançadas, como a possibilidade de se estabelecer uma ligação remota à revelia do utilizador que permite o acesso instantâneo ao sistema infectado.
“A análise preliminar a esta ameaça revelou que estamos a lidar com um troiano bancário com características similares ao Zeus e ao SpyEye, mas com algumas diferenças a nível da implementação, indicando que estamos perante um novo malware e não uma variante de um troiano desenvolvido no passado” afirma Robert Lipovsky, investigador da ESET. Mais informações podem ser encontradas em http://www.welivesecurity.com/
A cronologia da campanha de malware
Esta campanha de malware que teve início na República Checa revelou-se pela primeira vez no dia 8 de Agosto de 2013, sendo que um dia antes foi registado o domínio www.ceskaposta.net, muito semelhante ao domínio oficial do serviço de correios nesse país, www.ceskaposta.cz.
Se o domínio foi então registado no dia 7, os primeiros binários do Hasperbot foram compilados no dia 8, tendo sido detectados alguns minutos depois pelo sistema de telemetria da ESET, LiveGrid®.
Na República Checa era utilizado um ficheiro com o nome zasilka.pdf.exe que significa correio em português. A ligação que vinha no e-mail e que servia de ponto de partida para o espalhar da infecção parecia apontar para o site www.ceskaposta.cz, sendo que na realidade estava ligado ao endereço www.ceskaposta.net.
Apesar da campanha na República Checa ter sido aquela que despertou a nossa atenção, o país mais afectado por este troiano foi a Turquia, sendo que existem variantes detectadas antes do dia 8 de agosto.
Picos recentes na actividade da botnet foram observados na Turquia em Julho de 2013, sendo que encontrámos também outras variantes mais antigas que vão até Abril de 2013.
As campanhas de malware utilizadas na Turquia são muito semelhantes à que decorreu na República Checa. O email de phishing enviado às potencias vítimas fazia-se passar por uma factura da TTNET (o maior ISP da Turquia) e continha também um ficheiro malicioso com extensão dupla ou seja .PDF.EXE.
Mais tarde na nossa investigação descobrimos que os cibercriminosos apontaram a mira par Portugal. À semelhança do que acontece com a Turquia, o e-mail vem disfarçado como uma conta enviada pela Portugal Telecom.
Foi também detectada uma variante no Reino Unido embora não existem ainda detalhes muito concrectos.
No decorrer da nossa investigação, encontrámos também alguns componentes adicionais utilizados pelo Win32/Spy.Hesperbot. Este malware detectado pela ESET como Win32/Spy.Agent.OEC, colecciona endereços de email presentes nos sistemas infectados e envia-os para um servidor remoto. É possível que estes endereços de email seja usados à posteriori para receberem estes esquemas de phishing.
Bancos na mira e vítimas
A configuração dos ficheiros utilizados pelo malware e o módulo de injecção revelam quais os bancos online na mira dos cibercriminosos.
República Checa
Turquia
Portugal
No caso das botnets alusivas à Turquia e a Portugal os ficheiros de configuração contêm código HTML malicioso que é inserido nas páginas oficiais das instituições bancárias quando elas são visitadas a partir de uma máquina infectada. Isto não se verificava na campanha que estava a decorrer na República Checa.
De acordo com o sistema de telemetria da ESET, LiveGrid®, dezenas de pessoas já se encontram infectadas na República Checa e em Portugal e largas centenas na Turquia. As estatísticas de detecção por país, encontram-se disponíveis na imagem presente abaixo.
