Total Pageviews

19,643,316

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Zanubis: a evolução sorrateira do Trojan bancário e as ameaças às criptomoedas

Zanubis: a evolução sorrateira do Trojan bancário e as ameaças às criptomoedas
Share it:
Zanubis: a evolução sorrateira do Trojan bancário e as ameaças às criptomoedas
Os especialistas da Kaspersky analisaram uma campanha recente do Zanubis, um Trojan bancário que se distingue pela sua capacidade de se fazer passar por aplicações legítimas. A investigação também lança luz sobre o recente criptor/carregador AsymCrypt e o malware Lumma, que está a evoluir, sublinhando a necessidade crescente de uma segurança digital melhorada.

O Zanubis, um trojan bancário para Android, apareceu em agosto de 2022, visando utilizadores financeiros e de criptomoedas no Peru. Fazendo-se passar por aplicações Android legítimas, engana os utilizadores para que concedam permissões de acessibilidade, perdendo assim o controlo. Em abril de 2023, o Zanubis evoluiu, fazendo-se passar pela aplicação oficial da organização governamental peruana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), demonstrando maior sofisticação.

O Zanubis é ofuscado com a ajuda do Obfuscapk, um popular ofuscador para ficheiros APK do Android. Assim que obtém permissão para aceder ao dispositivo, engana a vítima carregando um site SUNAT real usando o WebView, fazendo-o parecer legítimo.

Para comunicar com o seu servidor de controlo, utiliza WebSockets e uma biblioteca chamada Socket.IO. Isto permite-lhe adaptar-se e manter-se ligado mesmo que haja problemas. Ao contrário de outro malware, o Zanubis não tem uma lista fixa de aplicações alvo. Em vez disso, pode ser programado remotamente para roubar dados quando determinadas aplicações estão a ser executadas. Este malware até cria uma segunda ligação, o que pode dar aos malfeitores controlo total sobre o dispositivo. E a pior parte é que pode desativar o dispositivo fingindo ser uma atualização do Android.

Outra descoberta recente feita pela Kaspersky é o AsymCrypt cryptor/loader, que visa carteiras de criptomoedas e está a ser vendido em fóruns clandestinos. Como a investigação demonstrou, trata-se de uma versão evoluída do DoubleFinger loader, atuando como uma "fachada" para um serviço de rede TOR. Os compradores personalizam os métodos de injeção, os processos alvo, a persistência de arranque e os tipos de stub para DLLs maliciosas, escondendo o payload numa bolha encriptada dentro de uma imagem .png carregada para um site de alojamento de imagens. A execução desencripta a imagem, ativando o payload na memória.

O rastreio das ciberameaças pela Kaspersky também levou ao Lumma stealer, uma linhagem de malware em evolução. Originalmente conhecido como Arkei, o Lumma rebatizado retém 46% dos seus atributos anteriores. Disfarçado de conversor de .docx para .pdf, a sua distribuição enganosa desencadeia o payload malicioso quando os ficheiros carregados regressam com uma extensão dupla .pdf.exe. Ao longo do tempo, a principal funcionalidade de todas as variantes manteve-se a mesma: roubar ficheiros em cache, ficheiros de configuração e registos de carteiras criptográficas. O malware faz tudo isto atuando como um plugin de browser, mas também suporta a aplicação Binance independente. A evolução do Lumma inclui a aquisição de listas de processos do sistema, a alteração de URLs de comunicação e o avanço das técnicas de encriptação.

“Os cibercriminosos são incansáveis na sua busca por ganhos monetários, aventurando-se no mundo das criptomoedas e até fazendo-se passar por instituições governamentais para atingir os seus objetivos. O cenário em constante evolução do malware, exemplificado pelo multifacetado Lumma stealer e as ambições do Zanubis como um Trojan bancário de pleno direito, sublinha a natureza dinâmica destas ameaças. A adaptação a esta constante transformação do código malicioso e das táticas dos cibercriminosos constitui um desafio permanente para as equipas de defesa. Para se protegerem contra estes perigos em evolução, as organizações devem manter-se vigilantes e bem informadas. Os relatórios de inteligência desempenham um papel fundamental para nos mantermos a par das mais recentes ferramentas maliciosas e técnicas de ataque, permitindo-nos estar um passo à frente na batalha contínua pela segurança digital,” refere Tatyana Shishkova, investigadora de segurança do grupo GReAT.

Para ler o relatório completo, consulte a Securelist.com

Para evitar ameaças com motivação financeira, a Kaspersky recomenda:
Configure cópias de segurança offline que os intrusos não possam adulterar. Certifique-se de que pode aceder-lhes rapidamente em caso de emergência, quando necessário.
Instale proteção contra ransomware para todos os endpoints. Existe uma ferramenta gratuita, o Kaspersky Anti-Ransomware Tool for Business que protege computadores e servidores contra ransomware e outros tipos de malware, evita exploits e é compatível com soluções de segurança pré-instaladas.
Para minimizar a probabilidade de lançamento de cripto-miners, utilize uma solução de segurança dedicada, como o Kaspersky Endpoint Security for Business, com controlo de aplicações e da Web; a análise de comportamento ajuda a detetar rapidamente atividades maliciosas, enquanto o gestor de vulnerabilidades e patches protege contra cripto-miners que exploram vulnerabilidades.
Share it:

info

Post A Comment:

0 comments:

Also Read

ASUS revela as placas gráficas GeForce RTX Série 50 em branco

  ASUS revela as placas gráficas GeForce RTX Série 50 em branco White Edition abrange séries da ROG Trix, TUF