Os pesquisadores da RSA, a Divisão de Segurança da EMC, apontam que o vazamento do código-fonte do Carberp pode levar criação de novos malwares. O Carberp é um cavalo de Tróia bancário que não só rouba informações confidenciais, mas também modifica o registro mestre de inicialização do disco rígido do computador (MBR) para evitar ser detectado pelo antivírus da máquina-alvo.
De acordo com histórico recente averiguado pela equipe do RSA Anti-Fraud Command Center (AFCC), em Israel e Estados Unidos, é possível apontar a tendência da criação de uma nova geração de malwares baseados no código-fonte do Carberp. Um exemplo é o cavalo de troia Citadel que foi desenvolvido a partir de aprimoramentos do código-fonte do ZeuS, que teve vazamento em 2011.
Criado em 2012, o Cidatel trouxe um grande salto de funcionalidade ao malware, pois corrigiu problemas do ZeuS, implementou medidas de segurança inteligentes para proteger o malware e sua infraestrutura, além de disponibilizar novos plug-ins para impulsionar a funcionalidade do cavalo de troia. Em termos de oferta de negócios de FaaS (Fraud-as-a-Service, fraude como serviço), o Citadel tornou-se uma operação comercial lucrativa, oferecendo aos "clientes" um CRM (Customer Relationship Management, gerenciamento de relacionamento com clientes), suporte técnico pago e atualizações constantes de versão. O Citadel foi tão bem-sucedido que os botmasters (coleção de programas conectados à internet que se comunicam com programas similares para executar tarefas) começaram a realizar upgrade dos bots existentes pelo malware.
Com o Carberp, a RSA visualiza dois potenciais caminhos: produção de cavalos de Tróia derivados e/ou ofertas comerciais e a proliferação de ataques baseados no malware. O Carberp é um malware extremamente sofisticado e, consequentemente, é mais provável que seu código seja aproveitado por uma gangue de criminosos cibernéticos que busca desenvolver o que há de mais avançado em malware.
"Com a tendência de privatização das operações de desenvolvimento de malware, o submundo está sem um cavalo de troia comercial. Esse vazio pode proporcionar o momento e o local ideais para uma oferta como essa. O desenvolvimento pode continuar em grupos privados e reservados, que criam o software para seus próprios objetivos criminosos", afirma Marcos Nehme, diretor da Divisão Técnica da RSA para Caribe e América Latina.
Em relação à propagação de ataques, a RSA avalia que o vazamento pode gerar um baseado na recompilação do Carberp por desenvolvedores de baixo nível e na oferta dele para venda "no estado em que se encontra", sem futuras expansões nem correções de bugs (erros). "O submundo do crime cibernético sempre está se reinventando. O vazamento do código do Carberp viabiliza novas oportunidades de fraudes. A história geralmente se repete", afirma Nehme.
Os RSA FraudAction Research Labs continuam investigando e analisando o código e divulgando suas descobertas à medida que são realizadas.
Número de fraudes no mundo
Mensalmente, a RSA realiza um levantamento no AFCC sobre os ataques cibernéticos ao redor do mundo. O Relatório de Fraude mais recente aponta que, em junho, a RSA registrou 35.831 ataques de phishing – uma maneira de fraude eletrônica caracterizada por tentativas de adquirir dados pessoais ou informações sigilosas de usuários/corporações.
De acordo com a RSA, em 2012, os ataques de phishing resultaram um prejuízo de US$ 1,5 bilhões para a economia mundial, um crescimento de 22%. O Reino Unido, Estados Unidos, Canadá, Brasil e África do Sul, respectivamente, formam o top-5 de países que tiveram empresas mais atacadas no ano.
