Vadokrist, o cavalo de Troia bancário que tem afetado o Brasil

0

O laboratório da ESET divulgou uma nova investigação sobre cavalos de Troia bancários voltados para instituições financeiras em toda a América Latina. Na ocasião, especialistas analisaram o Vadokrist, um novo Trojan que tem afetado principalmente bancos no Brasil por meio de uma funcionalidade backdoor distribuída em e-mails maliciosos.

Como um diferencial de outros cavalos de Troia bancários, o Vadokrist não coleta informações de suas vítimas imediatamente após comprometer suas máquinas. No entanto, de acordo com a análise da ESET, a ameaça compartilha várias características importantes com outros Trojans bancários latino-americanos, como Amavaldo, Casbaneiro, Grandoreiro ou Mekotio.

"A maioria dos cavalos de Troia bancários latino-americanos coleta informações sobre a máquina assim que a vítima a liga. A única informação que o Vadokrist coleta é o nome de usuário, e faz isso após o início do ataque", diz Jakub Soucek, coordenador da equipe que analisou o Vadokrist na ESET. "Mesmo que não colete informações, o Vadokrist pode manipular o mouse e simular entradas de teclado, gravar pressionamentos de tecla, fazer capturas de tela e reiniciar a máquina. Você também pode impedir o acesso a sites de bancos interrompendo o processo do navegador, uma técnica que acreditamos que os cibercriminosos usam para impedir que as vítimas acessem suas contas bancárias, ajudando os invasores a continuar a manter o controle sobre elas".

Distribuição

E-mails de spam recentes distribuídos pelo Vadokrist contêm dois arquivos ZIP com dois arquivos: um instalador MSI e um arquivo CAB. Se a vítima executar o instalador MSI, ela localizará o arquivo CAB e extrairá seu conteúdo (um carregador MSI) para o disco. Em seguida, ele executa um arquivo JavaScript incorporado que adiciona uma entrada de chave Executar, garantindo que o carregador MSI seja executado na inicialização do sistema. Finalmente, o script reinicializa a máquina. Na inicialização, o carregador MSI executa uma DLL embutida: o trojan bancário Vadokrist.

Cadeia de execução usada recentemente por Vadokrist.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.