por Mark Joseph Manahan (ameaça resposta engenheiro)

 

A presença de um produto de segurança é normalmente vista como um impedimento ou desafio para os cibercriminosos. No entanto, isso não é o caso com este Trojan bancário, especificamente, uma variante BANLOAD (também conhecido como banqueiro ou BANBRA). Este malware realmente limita sua gama de vítimas aos clientes de banco online  do Banco do Brasil. Ele faz isso verificando a presença de um produto de segurança específicos antes de ele executa suas rotinas maliciosas.

Infecção pela segurança

BANLOAD malware frequentemente usa várias técnicas que lhes permite evitar a detecção e espalhe dentro da América Latina, especificamente o Brasil:

  • Exclusão de software de anti-fraude como o G-buster Plugin (GbPlugin) e produtos antivírus
  • Limitando alvos para sistemas com o Português (língua oficial do Brasil) como o idioma padrão do sistema
  • Disfarçando-se como software de anti-fraude, especificamente GbPlugin

Os bancos brasileiros mais incentivam seus clientes de banco online  para instalar o Plugin de G-buster em seus computadores. G-buster Plugin impede que código mal-intencionado executado durante uma sessão de serviços bancários.

Normalmente, o malware bancário tentará desabilitar ou excluir este plugin. No entanto, este novo malware BANLOAD, detectado como TROJ_BANLOAD.GB, na verdade, verifica  este plugin antes de executar quaisquer rotinas. Ele vai tão longe como verificar a versão instalada do GbPlugin destinado a proteger s clientes do Banco do Brasil.

Esta variante usa o plugin como um indicador de que o sistema alvo está sendo usado para serviços bancários online . Se um sistema não tem o plugin instalado, ele simplesmente excluirá em si, não deixando nenhum vestígio de infecção. Neste caso particular, GbPlugin não para o malware de baixar e executar arquivos maliciosos; baixado malware é detectado como TSPY_BANKER.GB. Este tenta obter informações de certos bancos e instituições financeiras.

A  conexão brasileira e a latino-americana

Trojans como o BANLOAD que ataca os BANCOS vem ameaçando os usuários latino-americanos por mais de uma década. Uma das principais razões por trás da presença dos Trojans bancários na região é que o banco online  é bastante popular na região. Restrições físicas — como uma escassez de tijolo e argamassa ramos — contribuíram para a adoção de serviços bancários online.

Brasil tem estado na vanguarda dos bancos online  na região. Enquanto o país pode desfrutar de sistemas bancários online  avançados, isso não significa necessariamente que está tecnologicamente preparado para isso. Um relatório recente mostra que o país sofre fortemente de DOWNAD, um malware associado com sistemas sem patches e software pirateado. Isto implica que os usuários que não podem ser tão vigilantes com segurança do seu computador como deveriam — perfeitas vítimas para os cibercriminosos.

Temos notado várias melhorias nos Trojans bancários, tais como testes de idioma do sistema do PC, e testes de usuário-agente de phishing sites usando o navegador e endereço IP. Estes são usados para verificar se o computador afetado está no Brasil.

Se estes testes determinar que o usuário pode não ser do Brasil, o site de phishing em vez disso pode redirecionar os usuários para um site legítimo bancário. Trojans bancários também usam scripts de proxy auto-config (PAC) e páginas de phishing para filtrar suas vítimas.

Com insights adicionais de Fernando Mercês

Original: http://blog.trendmicro.com/trendlabs-security-intelligence/banload-limits-targets-via-security-plugin/