Usuários de smartphones no Brasil são alvos de uma nova campanha de malware que introduz um novo trojan bancário para Android chamado Rocinante.
"Essa família de malware é capaz de realizar keylogging usando o Accessibility Service, além de conseguir roubar PII (Informação Pessoal Identificável) das vítimas usando telas de phishing que se passam por diferentes bancos," disse a companhia holandesa de segurança, ThreatFabric.
Por fim, pode usar todas essas informações exfiltradas para realizar a tomada de controle do dispositivo (Device Takeover - DTO), aproveitando os privilégios do serviço de acessibilidade para alcançar acesso remoto completo no dispositivo infectado.
Alguns dos principais alvos do malware incluem instituições financeiras como Itaú Shop, Santander, com os apps falsos se passando por Bradesco Prime e Correios Celular, entre outros - Livelo Pontos (com.resgatelivelo.cash), Correios Recarga (com.correiosrecarga.android), Bratesco Prine (com.resgatelivelo.cash), Módulo de Segurança (com.viberotion1414.app).
A análise do código-fonte do malware revelou que o Rocinante é internamente chamado pelos operadores de Pegasus (ou PegasusSpy).
Vale destacar que o nome Pegasus não tem conexões com um spyware multiplataforma desenvolvido pelo fornecedor de vigilância comercial NSO Group.
Dito isso, Pegasus é considerado o trabalho de um agente de ameaça apelidado de DukeEugene, que também é conhecido por cepas de malware semelhantes como ERMAC, BlackRock, Hook e Loot, segundo análise recente da Silent Push.
A ThreatFabric disse que identificou partes do malware Rocinante que são diretamente influenciadas por iterações iniciais do ERMAC, embora acredite-se que o vazamento do código-fonte do ERMAC em 2023 possa ter desempenhado um papel.
"Este é o primeiro caso em que uma família original de malware pegou o código do vazamento e implementou apenas parte dele em seu código", apontou.
Também é possível que essas duas versões sejam bifurcações separadas do mesmo projeto inicial. O Rocinante é principalmente distribuído via sites de phishing que visam enganar usuários desavisados a instalar os apps dropper falsificados que, uma vez instalados, solicitam privilégios do serviço de acessibilidade para gravar todas as atividades no dispositivo infectado, interceptar mensagens SMS e servir páginas de login de phishing.
Ele também estabelece contato com um servidor de comando e controle (C2) para aguardar instruções adicionais – simulando toques e deslizes na tela – a serem executados remotamente.
As informações pessoais coletadas são exfiltradas para um bot no Telegram.
"O bot extrai o PII útil obtido usando as páginas de login falsas que se passam pelos bancos alvo.
Ele então publica essas informações, formatadas, em um chat ao qual criminosos têm acesso", notou a ThreatFabric.
As informações mudam ligeiramente com base em qual página de login falsa foi usada para obtê-las, e incluem informações do dispositivo como modelo e número de telefone, número do CPF, senha ou número da conta.
Este desenvolvimento vem enquanto a Symantec destacou outra campanha de malware trojan bancário que explora o domínio secureserver[.]net para mirar regiões de língua espanhola e portuguesa.
"O ataque multietapa começa com URLs maliciosas levando a um arquivo que contém um arquivo .hta ofuscado," disse a companhia de propriedade da Broadcom.
Este arquivo leva a um payload de JavaScript que realiza múltiplas verificações AntiVM e AntiAV antes de baixar o payload final de AutoIT.
Este payload é carregado usando injeção de processo com o objetivo de roubar informações e credenciais bancárias do sistema da vítima e exfiltrá-las para um servidor C2. Isso também segue o surgimento de uma nova "extensionware-as-a-service" que está sendo anunciada para venda através de uma nova versão do Genesis Market, que foi fechada pela aplicação da lei no início de 2023, e projetada para roubar informações sensíveis de usuários na região da América Latina (LATAM) usando extensões maliciosas de navegadores de internet propagadas na Chrome Web Store.
A atividade, ativa desde meados de 2023 e mirando o México e outras nações LATAM, foi atribuída a um grupo de e-crime chamado Cybercartel, que oferece esses tipos de serviços a outras equipes de cybercriminosos.
As extensões não estão mais disponíveis para download.
"A extensão maliciosa do Google Chrome se disfarça como uma aplicação legítima, enganando os usuários a instalá-la a partir de sites comprometidos ou campanhas de phishing", disseram os pesquisadores de segurança Ramses Vazquez e Karla Gomez do Metabase Q Ocelot Threat Intelligence Team.
Uma vez que a extensão é instalada, ela injeta código JavaScript nas páginas Web que o usuário visita.
Este código pode interceptar e manipular o conteúdo das páginas, bem como capturar dados sensíveis tais como credenciais de login, informações do cartão de crédito e outros dados inseridos pelo usuário, dependendo da campanha específica e do tipo de informação visada.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...