Novos malwares infectam mais de 100 bancos em 31 países

0

Mais de 100 organizações financeiras em 31 países foram alvo de uma nova onda de ataques que está em andamento desde, pelo menos, outubro de 2016. Hackers usaram sites comprometidos ou "watering holes" para infectar alvos pré-selecionados com malware ainda desconhecido. No entanto, não foi encontrada nenhuma evidência de que os bancos infectados tenham sido roubados.

Os ataques foram identificados quando um banco na Polônia descobriu um malware desconhecido rodando em vários de seus computadores. Em seguida, o banco compartilhou indicadores de compromisso (IOCs) com outras instituições e várias confirmaram que também estavam comprometidas.

Conforme relatado, a fonte do ataque parece ter sido o site do regulador financeiro polonês. Os atacantes comprometeram o site para redirecionar os visitantes para um kit de exploração, que tentou instalar malware em alvos selecionados.

A Symantec bloqueou tentativas de infecção de clientes na Polônia, no México e no Uruguai pelo mesmo kit de exploração que infectou os bancos poloneses. Desde outubro, foram bloqueados 14 ataques contra computadores no México, 11 contra computadores no Uruguai e dois contra computadores na Polônia.

Kit de exploração personalizada

Os atacantes parecem estar usando sites comprometidos para redirecionar os visitantes para um kit de exploração personalizado, que é pré-configurado para infectar apenas visitantes de aproximadamente 150 endereços de IP. Esses IPs pertencem a 104 diferentes organizações, localizadas em 31 países, cuja grande maioria é composta por bancos. Um pequeno número de empresas de telecomunicações e internet também estão na lista.

Links com Lazarus?

O malware utilizado nos ataques (Downloader.Ratankba) anteriormente não era identificado, embora tenha sido detectado pela Symantec sob assinaturas de detecção genérica, que foram criadas para bloquear quaisquer arquivos envolvidos em atividades maliciosas.

A análise do malware ainda está em andamento, mas algumas sequências de código nesse malware compartilham pontos comuns com o usado pelo grupo de ameaças conhecido como Lazarus.

Esse grupo está associado a uma série de ataques agressivos desde 2009, principalmente nos Estados Unidos EUA e na Coréia do Sul. O Lazarus esteve envolvido em ataques financeiros de alto nível e algumas das ferramentas usadas no assalto ao banco de Bangladesh mostraram semelhanças de código com malware usado em ataques históricos ligados ao grupo.

A investigação desses ataques está em andamento, em busca de mais evidências sobre a identidade e os motivos dos atacantes que focam principalmente as instituições financeiras, alvo crescente de ameaças.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.