Fraude Bancária Luuuk – Meio Milhão de Euros Desviados
Os analistas da equipa GREAT da Kaspersky Lab descobriram provas de um ataque dirigido contra os clientes de um dos grandes bancos europeus. Conforme aos registos detectados no servidor utilizado pelos cibercriminosos, em apenas uma semana foi roubado mais de meio milhão de euros procedentes das contas do referido banco. Os primeiros sinais desta campanha foram descobertos no passado dia 20 de Janeiro, quando os peritos da Kaspersky Lab detectaram um servidor C&C na rede.
O painel de controlo deste servidor indicava a utilização de um Trojan concebido especificamente para roubar o dinheiro das contas bancárias. Os analistas também detectaram registos nesse servidor que continham informação sobre as somas de dinheiro que tinham sido subtraídas de cada conta. No total, foi possível identificar mais de 190 vítimas, a maioria localizada em Itália e Turquia. Os montantes roubados de cada conta oscilavam entre os 1.700 e os 39.000 euros, de acordo com os registos.
A campanha contava com pelo menos uma semana de vida quando o C&C foi descoberto, tendo tido início, o mais tardar, em 13 de Janeiro de 2014. Nesse período, os cibercriminosos já tinham conseguido roubar mais de 500.000 euros. Dois dias antes da descoberta do servidor C&C, os delinquentes tinham já eliminado qualquer prova que pudesse ser usada para os apanhar. No entanto, os analistas acreditam que isto está relacionado com alterações efectuadas na infra-estrutura técnica utilizada na campanha maliciosa, e não necessariamente com o fim do Luuuk.
“Quando detectámos este servidor C&C, contactámos o serviço de segurança do banco e as forças da autoridade e legais, tendo-lhes sido fornecidas por nós todas as provas que possuíamos”, afirma Vicente Díaz, analista de malware sénior da Kaspersky Lab.
Uso de ferramentas maliciosas
No caso do LUUUK, os peritos têm motivos para acreditar que se interceptaram automaticamente importantes dados financeiros e que as transacções fraudulentas foram realizadas assim que as vítimas se identificaram nas suas contas bancárias online. “No servidor C&C detectámos que não havia informação sobre que programa de malware específico tinha sido usado nesta campanha. No entanto, muitas variantes do Zeus (Citadel, SpyEye, ICEIX…) têm essa capacidade. Acreditamos que no malware usado nesta campanha foi usado algum “ingrediente” do Zeus e uma web sofisticada para injectar malware”, acrescenta Vicente Díaz.
Planos de desinvestimento monetário
O dinheiro roubado foi transferido para as contas do cibercriminosos de uma forma interessante e pouco usual. Os analistas da Kaspersky Lab notaram uma peculiaridade na organização dos chamados ‘drops’ (ou mulas monetárias), onde os participantes no esquema recebem uma parte do dinheiro roubado em contas bancarias especialmente criadas e dinheiro vivo através de caixas automáticos. Existem provas da existência de vários grupos de ‘drops’, cada um com uma atribuição de dinheiro distinta. Um grupo tinha atribuídas somas entre 40.000 e 50.000 euros, outro entre 15.000 e 20.000 e um terceiro não mais do que 2.000 euros.
“Estas diferenças nos montantes de dinheiro obtido podem indicar uma variação nos níveis de confiança em cada tipo de “drop”. Sabemos que alguns membros de estas organizações muitas vezes passam a perna aos seus “colaboradores” e fogem com o dinheiro que, supostamente, teriam em notas. Os chefes do Luuuk poderiam, desta forma, tratar de se proteger contra estas perdas, estabelecendo diferentes grupos com diferentes níveis de confiança: quanto mais dinheiro é pedido a um grupo, mais se confia nele”, explica Vicente Díaz.
O servidor C&C implicado no Luuuk foi encerrado pouco depois do início da investigação. No entanto, o complexo nível da operação MITB pode indicar que os atacantes continuarão a procurar novas vítimas para esta campanha.
Como proteger-se contra o Luuuk
As provas descobertas pela Kaspersky Lab indicam que esta campanha foi organizada provavelmente por criminosos profissionais. No entanto, as ferramentas maliciosas usadas podem ser detectadas e eliminadas com soluções de segurança TI.
Por exemplo, a Kaspersky Lab desenvolveu o Kaspersky Fraud Prevention, uma plataforma multinível que ajuda as organizações financeiras a proteger os seus clientes contra fraudes online. Esta plataforma inclui componentes que salvaguardam os dispositivos dos clientes de vários tipos de ataques, incluindo os de Man-in-the-browser, assim como ferramentas que podem ajudar as empresas a detectar e bloquear transacções fraudulentas.
Fonte: Pplware
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018
