Camubot Ataque Financeiro no Brasil

Ao contrário dos tradicionais trojans bancários, o CamuBot não foca em ficar escondido, muito pelo contrário. Ele fica bem visível, utilizando a logomarca do banco fraudado, dando a impresão de que é um software de segurança do próprio banco. Para ganhar a confiança da vítima, ele leva o usuário a crer que é necessária uma atualização da aplicação bancária e neste processo instala o Trojan.

 

Como funciona o Camubot?

Mais sofisticado que os ataques padrões, que normalmente fazem um acesso remoto através de malware, o CamuBot atua de forma diferente. Em vez de uma simples tela falsa e instalação de uma ferramenta de acesso remoto, o ComuBot lembra muito os malwares como TrickBot, Dridex e QakBot, que focam em ataques de engenharia social.

Para levar a cabo os seus ataques, os hackers do CamuBot começam com algum reconhecimento básico de informações para encontrar empresas que façam parte de um determinado banco. Em seguida, eles iniciam uma ligação telefônica para a pessoa que provavelmente teria as credenciais da conta bancária da empresa.

 

Efetivação do ataque

Para efetivar o ataque, os invasores se identificam como funcionários do banco e instruem a vítima a procurar uma determinada URL para verificar se o módulo de segurança dele está atualizado. É claro que a verificação de validade é negativa, e os invasores enganam a vítima para instalar um “novo” módulo de segurança para sua atividade bancária on-line.

Como parte de sua rotina de infecção, o CamuBot grava dois arquivos na pasta %ProgramData% Windows para estabelecer um módulo proxy no dispositivo. O nome do executável não é estático e muda em todos os ataques. Em seguida, ele se adiciona às regras do firewall para parecer confiável.

Para se comunicar com o dispositivo infectado, o CamuBot estabelece um proxy SOCKS baseado no Secure Shell(SSH). A biblioteca de links dinâmicos (DLL) do módulo SSH é uma ferramenta gratuita que foi obtida via GitHub. O arquivo DLL é denominado “% TEMP% \ Renci.SshNet.dll”.

O módulo proxy é carregado e estabelece o encaminhamento da porta. Esse recurso geralmente é usado em um túnel bidirecional de portas de aplicativos do dispositivo do cliente para o servidor. No caso do CamuBot, o túnel permite que os invasores direcionem seu próprio tráfego através da máquina infectada e usem o endereço IP da vítima ao acessar a conta bancária comprometida.

Após a conclusão da instalação, uma tela pop-up redireciona a vítima para um site de phishing que pretende ser o portal de banco on-line de seu banco. A vítima é solicitada a fazer login em sua conta, portanto, sem saber, envia as credenciais para o invasor.

Nesse ponto, se as credenciais forem suficientes para uma invasão de conta, o invasor desliga.

 
Relatório do FBI sobre Fraudes por E-mail

 

Aparência do Camubot?

Abaixo, a tela do CamuBot disfarçado como falso aplicativo de segurança, indicando o requisito mínimo para a instalação do módulo.

 
Camubot

 

Distribuição da ameaça

A distribuição e os alvos do CamuBot é personalizada. Como esta ameaça tem alvo principal o público brasileiro, é bem provável que eles coletem informações de listas nacionais, ou usando mecanismos de pesquisa ou redes sociais profissionais para alcançar as pessoas que possuem empresas ou que tenham conta em um determinado banco.

Atualmente o foco do ataque do CamuBot é o Brasil, mas isso não quer dizer que fique focado somente no mercado nacional, podendo vir a ter “variantes” em outros países.

Fonte da informação: link