A IBM Descobre um Trojan Bancário UnregStealer que Visa Bancos da América Latina

A IBM descobriu um troiano bancário conhecido como UnregStealer, que está a visar bancos da América Latina enquanto se disfarça de uma extensão do Chrome. O investigador sénior de ameaças Itzhak Chimino informou que o malware engana os utilizadores fazendo-os instalá-lo ao apresentar falsas mensagens de segurança sobre atualizações obrigatórias do certificado SSL. O trojan funciona com supervisão humana manual, tornando-se quase invisível para sandboxes e para sistemas de deteção comportamental que nunca chegam a ver o payload ativar. Este método operacional permite ao UnregStealer roubar cookies de sessão, palavras-passe, senhas de uso único (one-time passwords) e números de conta a vítimas que visitam portais bancários visados.

UnregStealer disfarça-se como atualização de certificado SSL

De acordo com Chimino, o UnregStealer engana os utilizadores através de avisos de segurança fabricados. Com base na convenção de nomenclatura do executável e no padrão de distribuição, as vítimas recebem o que parece ser um aviso de segurança a informar que o browser necessita de uma atualização obrigatória do certificado SSL. O certificado é totalmente fabricado e não existe qualquer exigência desse tipo por parte do browser. Trata-se apenas de uma história alternativa convincente para levar a vítima a executar um executável.

O malware captura credenciais bancárias através da monitorização de sessões

Quando um utilizador navega na internet, o malware executa um script que verifica se a vítima está a visitar um dos websites listados entre os portais bancários visados. Se for esse o caso, o malware rouba cookies de sessão do website bancário que a vítima está a visitar. Sempre que um campo é clicado e são inseridas informações, o malware captura informação privilegiada, como palavras-passe, senhas de uso único e números de conta.

A operação manual permite contornar sistemas de deteção

Chimino explicou que este trojan envolve um operador real que acompanha cada sessão da vítima em direto e acciona manualmente o processo. Esta variação torna a campanha quase invisível para sandboxes e sistemas de deteção comportamental que nunca chegam a ver o payload ativar. Assim que a informação é capturada, o próximo passo do UnregStealer é determinado pelo seu operador humano.

A IBM identifica potencial para expandir a captação de alvos

De acordo com Chimino, o malware bancário UnregStealer tem capacidade e potencial para representar uma ameaça maior. Os padrões de infraestrutura observados sugerem um operador com capacidade e motivação para expandir o targeting para além do que esta investigação confirmou.

FAQ

O que é o UnregStealer e como é que visa as vítimas?

O UnregStealer é um trojan bancário que visa bancos da América Latina ao disfarçar-se de uma extensão do Chrome. Engana os utilizadores fazendo-os instalá-lo através de falsas mensagens de segurança sobre atualizações obrigatórias do certificado SSL, que são totalmente fabricadas.

Como é que o UnregStealer contorna os sistemas de deteção?

O malware envolve um operador real que acompanha cada sessão da vítima em direto e acciona manualmente o processo. Esta operação manual torna a campanha quase invisível para sandboxes e sistemas de deteção comportamental que nunca chegam a ver o payload ativar.

Que informação é que o UnregStealer rouba às vítimas?

O UnregStealer rouba cookies de sessão de websites bancários e captura informação privilegiada, como palavras-passe, senhas de uso único e números de conta, sempre que um campo é clicado e são inseridas informações em portais bancários visados.