Os peritos da Kaspersky Lab e do Sberbank, um dos maiores bancos da Rússia, colaboraram estreitamente com diversas agências e forças da segurança daquele país numa investigação que teve como resultado a detenção de 50 pessoas pertencentes ao grupo cibercriminoso Lurk. Os detidos são suspeitos de infetar várias redes e, com isso, roubar mais de 40 milhões de euros.
Em 2011, os peritos da Kaspersky Lab detetaram a atividade de um gangue de cibercriminosos que utilizava o Trojan Lurk, um sofisticado malware multi-modular com muitas e variadas funcionalidades que permitia aceder aos dispositivos das vítimas. Mais concretamente, o grupo tinha como objetivo encontrar uma via de entrada para os serviços bancários remotos e roubar dinheiro das contas dos utilizadores.
“Os peritos da Kaspersky Lab analisaram o software malicioso e identificaram a rede de computadores e servidores dos hackers. Com estes dados, as forças de segurança russas puderam identificar os suspeitos e reunir provas sobre os crimes cometidos. Esperamos que esta ação contribua para deter e julgar mais cibercriminosos”, afirma Ruslan Stoyanov, chefe de investigação de incidentes informáticos da Kaspersky Lab.
Durante a detenção, as autoridades conseguiram impedir transações num valor de mais de 26 milhões de euros.
O Trojan Lurk
Para propagar o malware, o Lurk infetou varias páginas web legítimas com exploits, incluindo páginas de meios de comunicação e notícias. Uma vítima só tinha que visitar uma das páginas web comprometidas para ser infetada pelo Trojan Lurk. Uma vez dentro do PC da vítima, o malware descarregava módulos maliciosos adicionais que permitiam roubar o dinheiro das vítimas.
As páginas web de meios de comunicação não foram as únicas não-financeiras a ser atacadas pelo grupo. Para ocultar o seu rasto, também atacaram várias companhias de telecomunicações e de TI, utilizando os seus servidores para permanecer ocultos.
O Trojan Lurk tem como particularidade o facto de o seu código malicioso não ser armazenado no dispositivo da vítima, mas na memória RAM. Além disso, tentaram dificultar o mais possível a sua deteção, utilizando diferentes serviços de VPN, a rede TOR, ligações Wi-Fi já comprometidas e servidores pertencentes às empresas de TI atacadas.
Comentários