Clientes corporativos de bancos italianos são o alvo de uma campanha contínua de fraude financeira que tem se aproveitado de uma nova ferramenta de injeção de web chamada drIBAN desde pelo menos 2019.
"O principal objetivo das operações de fraude drIBAN é infectar estações de trabalho com Windows dentro de ambientes corporativos tentando alterar transferências bancárias legítimas realizadas pelas vítimas, mudando o beneficiário e transferindo dinheiro para uma conta bancária ilegítima", disseram os pesquisadores da Cleafy, Federico Valentini e Alessandro Strino.
As contas bancárias, segundo a empresa italiana de segurança cibernética, são controladas pelos próprios atores ameaçadores ou seus afiliados, que são então encarregados de lavar os fundos roubados.
O uso de injeções de web é uma tática testada pelo tempo que permite que malwares injetem scripts personalizados no lado do cliente por meio de um ataque de homem-no-navegador (MitB) e interceptem o tráfego de e para o servidor.
As transações fraudulentas são frequentemente realizadas por meio de uma técnica chamada Automated Transfer System (ATS) que é capaz de contornar os sistemas anti-fraude implementados pelos bancos e iniciar transferências bancárias não autorizadas a partir do próprio computador da vítima.
Ao longo dos anos, os operadores por trás do drIBAN se tornaram mais experientes em evitar detecção e desenvolver estratégias eficazes de engenharia social, além de estabelecer uma base por longos períodos em redes bancárias corporativas.
A Cleafy disse que 2021 foi o ano em que a operação clássica de "trojan bancário" evoluiu para uma ameaça persistente avançada.
Além disso, há indicações de que o cluster de atividades se sobrepõe a uma campanha de 2018 montada por um ator rastreado pela Proofpoint como TA554, visando usuários no Canadá, Itália e Reino Unido.
A cadeia de ataque começa com um e-mail certificado (ou e-mail PEC) na tentativa de iludir as vítimas com uma falsa sensação de segurança.
Esses e-mails de phishing vêm com um arquivo executável que atua como um downloader para um malware chamado sLoad (também conhecido como Starslord loader).
Um carregador do PowerShell, sLoad é uma ferramenta de reconhecimento que coleta e exfiltra informações do host comprometido, com o objetivo de avaliar o alvo e soltar uma carga mais significativa como Ramnit se o alvo for considerado lucrativo.
"Essa fase de enriquecimento pode continuar por dias ou semanas, dependendo do número de máquinas infectadas", observou a Cleafy.
"Dados adicionais serão exfiltrados para tornar a botnet resultante cada vez mais sólida e consistente."
sLoad também usa técnicas de living-off-the-land (LotL) abusando de ferramentas legítimas do
Windows como PowerShell e BITSAdmin como parte de seus mecanismos de evasão.
Outra característica do malware é sua capacidade de verificar uma lista predefinida de instituições bancárias corporativas para determinar se a estação de trabalho hackeada está entre os alvos e, se assim for, prosseguir com a infecção.
"Todos os bots que passam com sucesso essas etapas serão selecionados pelos operadores da botnet e considerados como 'novos candidatos' para operações de fraude bancária avançando para a próxima fase, onde Ramnit, um dos trojans bancários mais avançados, será instalado", disseram os pesquisadores.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...