A equipa de analistas GReAT da Kaspersky Lab descobriu uma nova campanha maliciosa dirigida principalmente a organizações governamentais e educativas na América Latina e Europa. Betabot é o nome deste malware que se difunde através de mensagens de correio electrónico falsas que simulam proceder da polícia chilena, ou seja dos Carabineros. Trata-se de um malware que espia e rouba dados do desktop das vítimas, regista as teclas premidas no teclado e faz capturas de ecrã. Além disso, rouba os cookies de browsers e envia-os aos cibercriminosos.
De acordo com Dmitry Bestuzhev, analista da Kaspersky Lab, em Setembro de 2013, o FBI lançou um alerta acerca desta ameaça. No entanto, esta nova versão é diferente, já que esta rede de bots não é só utilizada por criminosos de idioma russo. Também as usam cibercriminosos da América Latina, já que, embora o host malicioso esteja localizado na Rússia, o domínio original foi comprado através do Panamá.
Além disso, o Betabot conta com funcionalidades de backdoor e combate activamente o antivírus instalado localmente através da manipulação do comportamento de “\Image File Execution Options” evitando a execução de 15 soluções antivírus diferentes. Esta técnica é muito prejudicial, porque mesmo se o malware for eliminado é necessário reverter esta opção do sistema ou a vítima não será capaz de instalar com êxito uma solução AV.
De acordo com a base de dados dos endereços de email que se utilizam para o envio de spam detectados e se analisarmos apenas os domínios de primeiro nível, conclui-se que geograficamente o Chile e a República Dominicana são os alvos principais. No entanto, a Espanha, aqui mesmo ao lado, ocupa a terceira posição.
A lista completa é muito alargada. Mas se revermos apenas os geo-domínios específicos, os 10 principais países onde se encontrou a maioria das vítimas são:
1. Chile
2. República Dominicana
3. Espanha
4. Argentina
5. México
6. Equador
7. Alemanha
8. França
9. Colômbia
10. Itália
Além disso, é de ter em conta que na lista das vítimas foram detectadas mensagens de email procedentes de sites .edu e .gov.
A Kaspersky Lab detecta e identifica esta ameaça como Trojan.Win32.Neurevt.zp
Comentários