Os clientes de bancos brasileiros estão a ser alertados sobre o malware chamado CamuBot, que se esconde à vista e se apresenta como um módulo de segurança final exigido por um banco e que visa proteger o utilizador.
O malware chega ao ponto de incluir logotipos de bancos que parecem e fazem parte de uma app de segurança real. Em alguns casos, o malware também pode roubar passwords one-time usadas para autenticações biométricas.
Num relatório da IBM X-Force divulgado na terça-feira, investigadores disseram que o CamuBot foi descoberto pela primeira vez em agosto de 2018 num ataque direcionado a clientes da banca. O nome CamuBot foi dado ao malware porque ele tenta camuflar-se como um software de segurança de marca genuína.
“The malware’s operators are actively using [CamuBot] to target companies and public-sector organizations, mixing social engineering and malware tactics to bypass strong authentication and security controls,” said Limor Kessem, a global executive security advisor with IBM Security, in a technical breakdown of the attacks posted Tuesday.
A distribuição do malware é altamente individualizada, e é normal que os ciberatacantes recolham informação de smartphones, redes sociais, ou dados empresariais de utilizadores que potencialmente tenham credenciais de acesso à banca.
“It is very possible that [the threat actors] gather information [on potential targets] from local phone books, search engines or professional social networks to get to people who own a business or would have the business’ bank account credentials,” Kessem wrote.
Quando um alvo é selecionado, os invasores apresentam-se como funcionários do banco por meio de telefonemas e instruem as vítimas a visitar uma URL específica para verificar se o “módulo de segurança” está atualizado.
O website de verificação falso indicará então uma “atualização necessária” para o suposto software de segurança. Em seguida, as vítimas são instruídas a fechar todos os programas em execução e descarregar e instalar o software mal-intencionado usando o perfil de administrador do Windows.
“At this point, a fake application that features the bank’s logos starts downloading. Behind the scenes, CamuBot gets fetched and executed on the victim’s device,” the researcher said. “The name of the file and the URL it is downloaded from change in every attack.”
Quando o invasor está ao telefone com a vítima, “uma janela pop-up redireciona a vítima para um website de phishing que pretende ser o portal bancário on-line”, explicou Kessem.
As vítimas são instruídas a fazer login na sua conta por meio do site falso mantido pelo invasor. Uma vez realizada, a vítima compartilha as suas credenciais bancárias com o invasor.