Um novo esquema de fraude no e-banking afetou já “dezenas” de portugueses. O troiano Hesperbot rouba as credenciais de entrada na conta e pode mesmo controlar o computador. De acordo com a ESET, o que distingue este novo ataque é o “aspeto cuidado” que leva os utilizadores a pensar tratar-se do site legítimo do seu banco.
O novo esquema foi descoberto na República Checa mas é na Turquia que está a causar mais estragos, com centenas de clientes que acedem ao seu banco através do serviço e-banking. Existe uma forma muito simples de se proteger contra este tipo de actos criminosos: lembre-se sempre que os seus bancos nunca pedem a confirmação dos seus dados de autenticação, seja de que forma for: não o fazem por telefone, sms ou pela net. Em Portugal, o ataque é feito direcionando os clientes para uma falsa página da Portugal Telecom.
De acordo com a ESET, o ataque foi lançado a partir do dia 8 de Agosto na República Checa e desde então tem-se espalhado por vários países, tendo já uma presença significativa também no Reino Unido, Turquia e Reino Unido. Em Portugal, o ataque direcciona-se contra os clientes do e-banking da Caixa Geral de Depósitos, Millenium, BPI e Santander Totta.
Ainda recentemente, a Kaspersky Lab afirmava que 70 por cento do spam era referente a serviços financeiros.
O Hesperbot e a investigação de acordo com a ESET
No mês passado descobrimos uma campanha de malware que se estava a espalhar rapidamente na República Checa. As primeiras investigações despertaram algum interesse, especialmente por este malware estar alojado num domínio que aparentemente pertencia ao serviço de Correios da República Checa.
Analisando a fundo esta ameaça, descobriu-se que estávamos a lidar com um troiano bancário que tinha funcionalidades semelhantes aos populares Zeus e SpyEye. Porém a utilização de métodos de implementação diferentes, revelou que estávamos presentes perante uma nova família de malware e não se tratava de uma variante destes troianos.
Apesar de ser um recém-chegado, o Win32/Spy.Hesperbot é um troiano muito avançado e eficaz que tem as funcionalidades mais comuns, como gravar tudo o que é digitado no teclado, criação de capturas de ecrã e vídeo e a configuração de uma proxy, mas também algumas características mais avançadas, como a criação de um servidor VNC à revelia o utilizador no sistema infectado. Claro que esta lista, tratando-se de um troiano bancário, não estaria completa sem as funcionalidades de intercepção de tráfego e também a injecção de HTML. O Win32/Spy.Hesperbot faz tudo isto de uma forma extremamente sofisticada.
Quando comparámos a amostra recolhida na República Checa com outro malware de que dispomos no nosso laboratório, descobrimos que já havíamos detectado anteriormente uma variante que era conhecida por Win32/Agent.UXO. As nossas investigações detectaram ainda que os bancos na República Checa não eram os únicos na mira desta ameaça, mas também que as instituições bancárias na Turquia e em Portugal eram visadas.
Resumidamente, o objectivo dos cibercriminosos é obterem as credenciais que dão acesso à conta bancária da vítima levando-os a instalarem aplicações maliciosas nos seus dispositivos móveis Android, Symbian ou Blackberry.
