Malware Zumanek rouba credenciais bancárias e tem Brasil como foco

Há aproximadamente três meses a Eset, empresa especialista em detecção proativa de ameaças, detectou o Zumanek, nova família de malwares bancários, que ataca quase que exclusivamente o Brasil. Seu nível de detecção ainda não o coloca no top 10 de spywares/bankers mais detectados no País, mas o vírus traz indícios dos planos futuros do cibercrime brasileiro, focado em bancos e criptomoedas.

A Eset analisou uma amostra dessa família de malwares (versão 3.0) com o objetivo de entender seu funcionamento e verificar as precauções tomadas por seus desenvolvedores para evitar a detecção.

Atuação

Para chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a pessoa a baixar e executar o primeiro estágio de infecção.

Nesse primeiro estágio, o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final (parte do vírus que executa a ação nociva) e, por fim, executá-lo na máquina comprometida.

Um dos motivos que explicam as detecções serem (quase que) exclusivamente no Brasil, está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se entrada corresponder a ‘pt-br’.

Outra verificação do malware é com relação à proteção da máquina. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes antivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado. Caso não haja antivírus, o malware prossegue com o download do payload final e sua execução na máquina da vítima.

Ao final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é verificado se os arquivos foram baixados e modificados corretamente.

Se a verificação for positiva, o payload final é executado. Caso contrário, os arquivos são escondidos (FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.

Na sequência, chega-se ao segundo estágio, que tem como finalidade prover ao atacante o controle remoto à máquina da vítima, para o roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda.

A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa (biblioteca dinâmica de dados para execução de tarefas) que é carregada pelo executável, executando, na sequência, o arquivo legítimo.

Após a execução dos arquivos, o Zumanek pode enviar diversos comandos à máquina da vítima. Além disso, o operador pode também visualizar a tela do usuário a partir dos dados enviados, realizando diversos comandos de screenshot.

Isso significa que os dados bancários da vítima se tornam completamente expostos e, consequentemente, vulneráveis.

Dessa forma, fica claro que a família de malwares Zumanek trata-se de um Remote Access Trojan (RAT com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.

“Como vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento, principalmente quando utilizamos as facilidades trazidas pelas plataformas bancárias online e, agora, pelas criptomoedas”, finaliza Camillo Di Jorge, country manager da Eset no Brasil.