O malware foi batizado de CamuBot, uma vez que tenta se camuflar como um suposto módulo de segurança exigido pelos bancos.
Segundo informações publicadas no blog de segurança da IBM, o CamuBot surgiu por aqui em agosto de 2018 e, aparentemente, tem como alvo usuários corporativos de bancos e organizações do setor público. Para convencer as vítimas a instalar o malware, os golpistas telefonam para as empresas se passando como funcionários do banco e passam orientações que visam supostamente atualizar o software de proteção do banco. Caso a vítima siga as instruções do criminoso, o computador será contaminado com um bot que rouba senhas bancárias e pode até burlar mecanismos avançados de autenticação, segundo o alerta da IBM.
Os analistas de segurança ressaltam ainda que trata-se de um golpe sofisticado. isso porque ao invés de usar telas simples e falsas, as táticas do CamuBot combinam esforços de engenharia social para instalação assistida do malware e controle do dispositivo remotamente.
E para despistar ainda mais, os golpistas se valem de uma tela de instalação que imita o programa idôneo.
Depois de instalado, o vírus permite que o hacker se conecte ao computador da vítima, dando acesso à sua conta bancária. Ao fazer isso, o golpista consegue acessar a conta pelo mesmo computador do correntista, impedindo o banco de detectar qualquer anomalia na região de acesso.
A IBM também diz que os ataques por trás do CamuBot parecem personalizados para cada vítima. Para isso, os pesquisadores especulam que os hackers estudam seu alvo através de redes sociais, listas telefônicas e outros dados para descobrir quem é o dono de uma empresa ou quem teria acesso às informação da conta corrente. Por enquanto, os ataques com o CamuBot só foram registrados no Brasil.
Na análise de Will LaSala, diretor de soluções de segurança e evangelista em segurança da OneSpan, o CamuBot é um overlay attack único por suas características e sofisticação. O especialista chama a atenção para o fato de que alguns bancos iniciaram a distribuição de dispositivos conectados que ajudam a entregar um uso fácil de sistemas de autenticação que combinam senhas de acesso de uso único (One Time Passwords — OTP) com controles biométricos conectados via USB com o computador.
“A história se repete na medida em que já há muitas formas de ataques contra USBs e dispositivos conectados externamente e este especificamente emprega aqueles antigos métodos criminosos, os atualiza e os combina com novos e potenciais ataques dirigidos. Ao empregar engenharia social e ter como alvo usuários específicos, este ataque tenta enganar desta vez de forma aberta e não mais escondido atrás da cena”, detalha LaSala.
Em algumas circunstâncias, como na presença de autenticação biométrica ou outro hardware de autenticação forte ligado ao PC invadido, o CamuBot fica ainda mais letal ao instalar um drive, diz LaSala.
“Bancos e usuários precisam ficar atentos. Treinar os consumidores no que eles devem ouvir e no que eles podem ou não fazer ao telefone é muito importante em um portfolio de segurança. Mas, além de preparar o usuário final, se assegurar de que um completo processo de encriptação de ponta a ponta é empregado, como uma comunicação segura, pode ajudar a reduzir a eficácia desse ataque”, alerta Will LaSala.
